tag:blogger.com,1999:blog-4065770693499115314.post9101295312952906848..comments2023-10-02T12:01:53.774+03:00Comments on Бизнес без опасности: Рекомендации по ПДн имени ЛетыАлексей Лукацкийhttp://www.blogger.com/profile/08434361034703403028noreply@blogger.comBlogger26125tag:blogger.com,1999:blog-4065770693499115314.post-79979609488851447832010-02-09T16:32:14.039+03:002010-02-09T16:32:14.039+03:002 Анонимный.
Все успевают. :-) Работы ведь немерен...2 Анонимный.<br />Все успевают. :-) Работы ведь немерено.Алексей Т.https://www.blogger.com/profile/18336548034862391527noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-28262424108725164532010-01-29T00:11:31.688+03:002010-01-29T00:11:31.688+03:00Прочитал комментарий Алексея Т. "Демонстриру...Прочитал комментарий Алексея Т. "Демонстрируйте свои достижения, проекты, что-то отличающееся от серой картины защиты ПДн." и стало интересно, а кто из интеграторов озвучивает конкретные выполненные проекты. По итогам поиска нашел только ссылку на проект "Открытых технологий" в Башкирском регистре социальных карт и ссылки на четыре проекта все той же Леты. <br />Там и банк и РАО ЕЭС и Росатом. Так что похоже они успевают по всем фронтам.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-43720487247155899722010-01-28T20:09:07.907+03:002010-01-28T20:09:07.907+03:00Напишу на следующей неделе. И не только про них.Напишу на следующей неделе. И не только про них.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-24573832741832840292010-01-28T19:33:23.972+03:002010-01-28T19:33:23.972+03:00Алексей, было бы интересно выше мнение о Методичес...Алексей, было бы интересно выше мнение о Методических рекомендациях по защите ПДн от Минздрава<br />http://www.minzdravsoc.ru/docs/mzsr/informatics/5Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-56065532330858546292010-01-28T12:02:17.319+03:002010-01-28T12:02:17.319+03:00Я не сотрудник и отношения к реализации этих техно...Я не сотрудник и отношения к реализации этих технологий не имею, как и к работе с ними. :)Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-76877426963486143892010-01-28T11:00:06.072+03:002010-01-28T11:00:06.072+03:00> Все страны подключаются по единой технологии,...> Все страны подключаются по единой технологии, о шифровании гостовыми средствами не может быть и речи.<br /><br />Сможете такое заявить проверяющим из ФСТЭКа?Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-6001963945571108132010-01-28T10:58:18.186+03:002010-01-28T10:58:18.186+03:00Все страны подключаются по единой технологии, о ши...Все страны подключаются по единой технологии, о шифровании гостовыми средствами не может быть и речи.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-86706112583030072152010-01-28T10:31:17.768+03:002010-01-28T10:31:17.768+03:00> Здесь необходима лицензия ФСБ на экспорт.
А...> Здесь необходима лицензия ФСБ на экспорт. <br /><br />А легко ли получить такую лицензию ФСБ? И получал ли Дми Мани такую лицензию?Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-20215403688334389012010-01-28T09:38:52.586+03:002010-01-28T09:38:52.586+03:00<А как они при трансграничке шифрацию обосновал...<А как они при трансграничке шифрацию обосновали? Ведь для систем 1К обязательна шифрация (ГОСТом, разумеется), а это влечёт за собой экспорт криптосредств, что требует лицензию СВР.<br /><br />Лицензия СВР нужна при вывозе криптосредства за пределы РФ только в определенных случаях, как правило, для использования его в посольствах и других важных для обороны страны объектах. Здесь необходима лицензия ФСБ на экспорт. <br />А на счет рекомендация Леты, думаю они писались в первую очередь для операторов, у которых нет больших средств на услуги интеграторов по ПДн. Городские школы, детские сады не знают порой с чего начать строить защиту ПДн, а тут хоть какая то помощь...Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-31867762729570583462010-01-28T09:00:29.404+03:002010-01-28T09:00:29.404+03:00> По пути предупреждения субъектов о намерениях...> По пути предупреждения субъектов о намерениях совершить трансграничную передачу ПДн и принятии молчания за знак согласия пошел джии мани банк. <br /><br />А как они при трансграничке шифрацию обосновали? Ведь для систем 1К обязательна шифрация (ГОСТом, разумеется), а это влечёт за собой экспорт криптосредств, что требует лицензию СВР. Так что несмотря на формальное разрешение, прописанное в ФЗ-152, "Рекомендации" фактически запрещают трансграничку.<br /><br />Именно так объясняет ситуацию "Эшелон". Они правы?Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-8992811635628710952010-01-28T07:33:51.635+03:002010-01-28T07:33:51.635+03:00А ЦОД с основной АБС - в другой стране :)
Ведь на...А ЦОД с основной АБС - в другой стране :) <br />Ведь надо не столько уведомлять, сколько сперва спрашивать разрешение.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-52660874675396556472010-01-27T22:23:16.815+03:002010-01-27T22:23:16.815+03:00Интересно куда они его направляли, если понадобило...Интересно куда они его направляли, если понадобилось уведомлять. По закону уведомлять надо при обработке в странах, не ратифицировавших Конвенцию или не имеющих собственного законодательство по ПДн. А штаб-квартира GE Money находится в стране с адекватной защитой прав субъектов.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-46235825907413330422010-01-27T21:00:16.359+03:002010-01-27T21:00:16.359+03:00По пути предупреждения субъектов о намерениях сове...По пути предупреждения субъектов о намерениях совершить трансграничную передачу ПДн и принятии молчания за знак согласия пошел джии мани банк. Пятьсот тыщ доларей только на почтовый спам потратили. Интересно своими ли они мозгами до этого додумались? :)<br />Не говоря уже о том, что, по идее, добрая часть их ПДн еще до этих уведомлений уже находилась за границей, на серверах матушки.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-40971911472078055782010-01-27T18:25:40.460+03:002010-01-27T18:25:40.460+03:00Это не то, чтобы нонсенс. При некоторых конклюдент...Это не то, чтобы нонсенс. При некоторых конклюдентных действиях молчание может быть засчитано за согласие, но данная ситуация явно к ним не относится, это верно.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-7737304751466900142010-01-27T18:22:35.619+03:002010-01-27T18:22:35.619+03:00Особенно ЛЕТА "зажгла" на 3 шаге здесь:
...Особенно ЛЕТА "зажгла" на 3 шаге здесь:<br /><br />"..Субъект должен быть предупрежден о том, что игнорирование обращения к нему (за согласием) со стороны оператора может быть расценено как его согласие на обработку его персональных данных..."<br /><br />То есть, по ЛЕТЕ можно послать субъекту форму согласия на обработку его ПДн и в случае молчания субъекта принимать это за согласие.<br />Нонсенс.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-21128595955753350412010-01-27T17:44:45.652+03:002010-01-27T17:44:45.652+03:00В одном крупном банке ФСТЭК завернул модель угроз,...В одном крупном банке ФСТЭК завернул модель угроз, содержащую список из нескольких тысяч пунктов ;-) Сказал "многа букафф" ;-) А ты 200 страниц. У ЦБ модель угроз по ПДн всего 8 страниц ;-) Так что надо делиться ;-)Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-78179024695338205532010-01-27T17:28:03.888+03:002010-01-27T17:28:03.888+03:00Модель угроз выложить - жаба душит )))) несклько м...Модель угроз выложить - жаба душит )))) несклько месяцев работы, ломания мозга, споров, личного времени, выученые наизусть документы (почти не утрирую). Сокращенная модель у меня в простейшем случае составляет порядка 150-200 страниц. Ну выложу я ее. Операторам она - как новые ворота. Ее же понять еще нужно. Под себя заточить. А это по сути сделать все, что до этого делал я и затратить не меньше времени. Помочь коллегам=конкурентам? Где тогда бизнес-смысл? Теперь еще аргумент - а ну как модель не понравиться супер московскому интератору со связями? У них мега кусок отрывают. Какая от них реакция пойдет?<br />Такими вещами ДОЛЖНЫ заниматься государственные органы, а не бизнес (реальную ситуацию понимаю полностью).<br />Сразу оговорюсь - революционный способ изменения менталитета и сложившегося уклада я не рассматриваю. Хотя (на мой взгляд) ЦР-АРБ пытаются идти именно этим путем.<br />Ну а совсем гражданское мнение - все должно быть доступно, не обязательно (кроме уголовки), коррупции быть не должно, суды должны быть сверхпрофессиональны во всех областях права и в конкретных делах, правительство должно работать на человека, солнце должно светить... И будет ли это - зависит от каждого конкретно. Что ты сделал, что бы стало лучше по ПДн? (Алексей делает - призыв не к нему :) )<br />Кстати, как мне кажется, они попытались сделать вторую версию моей памятки, только на своем уровне.<br />ZZubraAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-68918335443378157702010-01-27T16:11:03.309+03:002010-01-27T16:11:03.309+03:00АЛ
(Что же касается нерешаемых задач, то да, есть ...АЛ<br />(Что же касается нерешаемых задач, то да, есть такие. Но есть и решаемые. Одна из них - модель угроз. Можно долго кричать, что модель угроз создать сложно, приходите к нам... а можно просто привести пример модели. Можно говорить, что документы должны быть такие-то и такие-то, а можно просто дать эти шаблоны документов.)<br /><br />Угу, причем с разъяснениями)<br />Здесь согласен.<br /><br />АЛ<br />(Tiger: Про другие отрасли читай завтра ;-))<br /><br />Ждем)Tigernoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-34748478342493236592010-01-27T12:19:34.460+03:002010-01-27T12:19:34.460+03:00Tiger: Про другие отрасли читай завтра ;-)<b>Tiger:</b> Про другие отрасли читай завтра ;-)Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-61371389966309396202010-01-27T12:17:48.995+03:002010-01-27T12:17:48.995+03:00Tiger: Мы не исходим из рекомендаций ЦБ и отраслев...<b>Tiger:</b> Мы не исходим из рекомендаций ЦБ и отраслевых стандартов. Мы работали параллельно с доработкой СТО. Но так совпало, что по ключевым вопросам наши позиции совпали ;-)<br /><br />И мы исходим из существующего законодательства. Только мы стараемся идти по пути решения реальных проблем операторов, а Лета - по пути наименьшего сопротивления, решая сразу три задачи:<br /> - отличный PR-повод и привлечение внимания<br /> - рост заработка<br /> - нежелание ссориться с регуляторами.<br /><br />Что же касается нерешаемых задач, то да, есть такие. Но есть и решаемые. Одна из них - модель угроз. Можно долго кричать, что модель угроз создать сложно, приходите к нам... а можно просто привести пример модели. Можно говорить, что документы должны быть такие-то и такие-то, а можно просто дать эти шаблоны документов.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-39039174473267334402010-01-27T12:16:45.975+03:002010-01-27T12:16:45.975+03:00Ну а реальную ценность документа каждый сам для се...Ну а реальную ценность документа каждый сам для себя определит.<br />Сами шаги имхо внимания заслуживают<br />(исходя из существующего законодательства), ибо это у банков есть отраслевые стандарты, про другие отрасли не слыхал такого...Tigernoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-54907568358882159452010-01-27T11:58:19.408+03:002010-01-27T11:58:19.408+03:00АЛ
(Мы, в рабочей группе при ЦБ и АРБ, постарались...АЛ<br />(Мы, в рабочей группе при ЦБ и АРБ, постарались все эти стандартные минусы исключить и сосредоточиться на реальных и практически применимых рекомендациях)<br /><br />Так это потому, что вы исходите из рекомендаций ЦБ, из ОТРАСЛЕВЫХ стандартов и отраслевой модели угроз. Лета же исходит из существующего на сегодняшний день законодательства.<br />Проблемы то на парламентских слушаниях были подняты, сроки сдвинули, но законодательство ведь не поменялось ни коим образом.<br />Потому для интеграторов по прежнему поле деятельности на<br /><br /><зарабатывании денег на теме персданных <br /><br />не уменьшилось.<br /><br />АЛ<br />(учитывая полное отсутствие примеров, ставит крест на практическом применении этих рекомендаций)<br /><br />Да даже если б были примеры то, как вы правильно пишите существует:<br /><практическая невозможность выполнения ряда шагов<br /><br />а кроме того все равно дорого и не факт, что защищает права субъектов ПДн.Tigernoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-57757624435762435942010-01-27T11:17:11.353+03:002010-01-27T11:17:11.353+03:00Станиславу: В пятницу тут будет заметка про рекоме...<b>Станиславу:</b> В пятницу тут будет заметка про рекомендации ЦБ ;-)Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-73407113388853425282010-01-27T10:13:56.932+03:002010-01-27T10:13:56.932+03:00Согласен с автором - на первый взгляд документ нра...Согласен с автором - на первый взгляд документ нравится, когда пытаешься почерпнуть что-нибудь полезное из документа - оказывается, что использовать фактически нечего. :-( ДЕйствительно, такая ненавязчивая рекламка Леты, о которой трубят СОТРУДНИКИ Леты на всех форумах. :-) Нескромно как-то. Демонстрируйте свои достижения, проекты, что-то отличающееся от серой картины защиты ПДн. Поддержу Станислава: когда можно почитать документы ЦБ и АРБ?Алексей Т.https://www.blogger.com/profile/18336548034862391527noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-86137572455591744772010-01-27T09:05:15.786+03:002010-01-27T09:05:15.786+03:00Алексей!
А когда же станут доступны разрабатываемы...Алексей!<br />А когда же станут доступны разрабатываемые ЦБ и АРБ документы?Станиславhttps://www.blogger.com/profile/05199695613033806519noreply@blogger.com