Вчера ассоциация RISSPA провела свой первый (на сколько я знаю они раньше в таком формате мероприятия не проводили) семинар в виде вебинара. Всех зарегистрировавшихся пригласили в "виртуальную комнату", в которой собственно и проводилась презентация. На мой взгляд, все прошло достаточно не плохо, но не обошлось и без некоторых технических заминок. Т.к. трансляция шла в реальном режиме времени, то критичным было наличие у докладчиков хорошего Интернет-канала. К сожалению, судя по качеству трансляции, не все докладчики имели таковой, что негативно сказалось на качестве звука. Иногда звук замирал, а иногда наоборот, некоторые фрагменты речи накладывались друг на друга. В любом случае если это действительно первый опыт ребят из RISSPA, то он был удачным.
К огромному сожалению, мне НЕ удалось послушать все выступления, т.к. в четверг никто не отменял рабочий день. Организаторы обещали выложить все презентации на своем сайте, что не может не радовать.
Первую презентацию провел Алексей Лукацкий по теме "Что скрывает законодательство о ПДн". Было приведено много интересных фактов, в частности, по стоимости приведения в соответствие ИСПДн требованиям ФЗ № 152-ФЗ. Это удовольствие может стоить от 100000 зеленью без учета стоимости средств защиты (сертифицированных разумеется) и их внедрения. Если мы сюда включим стоимость сертификации СЗИ, аттестацию, то общая стоимость приведения ИСПДн в соответствие может в разы превысить материальный эквивалент возможного ущерба, который может быть нанесен субъекты ПДн.
Также интересно было услышать, что на приведение в соответствие ИСПДн всех операторов (по оценкам ФСБ и ФСТЭК их около 7 млн.) потребуются десятилетия, т.к. число сертификационных/аттестационных лабораторий в нашей стране составляет около 100.
Что касается наказания, то я в своем блоге об этом уже писал. Самое опасное, это повторное нарушение, вернее не выполнение первого предписания Роскомнадзора. Это может повлечь за собой штраф в размере 500000 руб и дисквалификацию. Пока дел связанных с дисквалификацией должностных лиц не было. Однако, как говорится, все еще впереди. Роскомнадзор сейчас отрабатывает навыки проведения проверок. Особенно это ярко выражено в регионах... Сейчас уже достаточно много банков (более 10) преследуется в соответствии с УК РФ.
Достаточно забавным является тот факт, что адрес электронной почты является персональными данными субъекта. Интересно получается, что если у меня несколько электронных адресов, то каждый из них является персональными данными? И если его знает каждый, кто когда-либо получал от меня письма, то...?
Также запомнились слайды, касающиеся автоматизированного принятия решений. Как быть с системами дистанционного обучения, учета и видеоконференциями? Системами видеонаблюдения? Поддерживаю мнение Алексея, что необходимо избегать такие действия, как запись переговоров, видеонаблюдение, контроль электронной почты и т.п., что позволит значительно облегчить жизнь при общении с регуляторами.
Алексеем так же были затронуты вопросы классификации ИСПДн, легитимности четверокнижья, сертификации ОС и ППО, а также обязательности получения лицензий на ТЗКИ и СКЗИ, а также приведены сравнительные таблицы некоторых положений ФЗ №152-ФЗ и Евроконвенции (Евроконвенция гораздо гибче).
Все задаются вопросом, а успеем ли мы привести в соответствие свои ИСПДн к 01.01.2010 года? Дело в том, что если система создавалась после января 2007 года, то она уже должна соответствовать требованиям, а ИСПДн, спроектированные до этого времени должны быть приведены к 01.01.2010 года в соответствие. Трех лет на это хватило бы.
Также запомнился доклад Дмитрия Левиева об опыте проведения проверок ФСТЭК. Был затронут вопрос аутсорсинга лицензионной деятельности. Известная позиция регуляторов, что каждый оператор (имеющие системы К1, К2, К3-распределенная) обязан иметь собственную лицензию ФСТЭК (на аутсорсинг отдана быть не может), а лицензионную деятельность по линии ФСБ можно отдать на аутсорсинг лицензиату ФСБ.
К сожалению, остальные доклады мне послушать не удалось...
К огромному сожалению, мне НЕ удалось послушать все выступления, т.к. в четверг никто не отменял рабочий день. Организаторы обещали выложить все презентации на своем сайте, что не может не радовать.
Первую презентацию провел Алексей Лукацкий по теме "Что скрывает законодательство о ПДн". Было приведено много интересных фактов, в частности, по стоимости приведения в соответствие ИСПДн требованиям ФЗ № 152-ФЗ. Это удовольствие может стоить от 100000 зеленью без учета стоимости средств защиты (сертифицированных разумеется) и их внедрения. Если мы сюда включим стоимость сертификации СЗИ, аттестацию, то общая стоимость приведения ИСПДн в соответствие может в разы превысить материальный эквивалент возможного ущерба, который может быть нанесен субъекты ПДн.
Также интересно было услышать, что на приведение в соответствие ИСПДн всех операторов (по оценкам ФСБ и ФСТЭК их около 7 млн.) потребуются десятилетия, т.к. число сертификационных/аттестационных лабораторий в нашей стране составляет около 100.
Что касается наказания, то я в своем блоге об этом уже писал. Самое опасное, это повторное нарушение, вернее не выполнение первого предписания Роскомнадзора. Это может повлечь за собой штраф в размере 500000 руб и дисквалификацию. Пока дел связанных с дисквалификацией должностных лиц не было. Однако, как говорится, все еще впереди. Роскомнадзор сейчас отрабатывает навыки проведения проверок. Особенно это ярко выражено в регионах... Сейчас уже достаточно много банков (более 10) преследуется в соответствии с УК РФ.
Достаточно забавным является тот факт, что адрес электронной почты является персональными данными субъекта. Интересно получается, что если у меня несколько электронных адресов, то каждый из них является персональными данными? И если его знает каждый, кто когда-либо получал от меня письма, то...?
Также запомнились слайды, касающиеся автоматизированного принятия решений. Как быть с системами дистанционного обучения, учета и видеоконференциями? Системами видеонаблюдения? Поддерживаю мнение Алексея, что необходимо избегать такие действия, как запись переговоров, видеонаблюдение, контроль электронной почты и т.п., что позволит значительно облегчить жизнь при общении с регуляторами.
Алексеем так же были затронуты вопросы классификации ИСПДн, легитимности четверокнижья, сертификации ОС и ППО, а также обязательности получения лицензий на ТЗКИ и СКЗИ, а также приведены сравнительные таблицы некоторых положений ФЗ №152-ФЗ и Евроконвенции (Евроконвенция гораздо гибче).
Все задаются вопросом, а успеем ли мы привести в соответствие свои ИСПДн к 01.01.2010 года? Дело в том, что если система создавалась после января 2007 года, то она уже должна соответствовать требованиям, а ИСПДн, спроектированные до этого времени должны быть приведены к 01.01.2010 года в соответствие. Трех лет на это хватило бы.
Также запомнился доклад Дмитрия Левиева об опыте проведения проверок ФСТЭК. Был затронут вопрос аутсорсинга лицензионной деятельности. Известная позиция регуляторов, что каждый оператор (имеющие системы К1, К2, К3-распределенная) обязан иметь собственную лицензию ФСТЭК (на аутсорсинг отдана быть не может), а лицензионную деятельность по линии ФСБ можно отдать на аутсорсинг лицензиату ФСБ.
К сожалению, остальные доклады мне послушать не удалось...
Еще выступал М.Ю. по разным видам тайн. Правда его самого было не видно, был только звук.
ОтветитьУдалить"Сейчас уже достаточно много банков (более 10) преследуется в соответствии с УК РФ."
ОтветитьУдалитьОткуда эти данные?
>Поддерживаю мнение Алексея, что необходимо избегать такие действия, как ... контроль электронной почты...
ОтветитьУдалитьВесьма спорно...
Смотрим "букву Закона":
ст.3
2) оператор - ... юридическое или физическое лицо, ... осуществляющие обработку персональных данных...
3) обработка персональных данных - действия (операции) с персональными данными, включая ... хранение, ... распространение (в том числе передачу) ... персональных данных;
Т.е. если у Вас разрешена передача личной почты, то тем самым Вы сразу становитесь оператором ИСПД класса К1 т.к. Вы не ограничили/запретили обработку ПД категории 1 в Вашей ИС (читаете Вы или не читаете никого не волнует - Вы обрабатываете). При этом Вам придется аттестовывать по К1 все АРМ, на которых возможна передача прочих личных электронных сообщений. ;)
Если есть желание "ломать копья" по этому вопросу - есть темка на банкире http://dom.bankir.ru/showthread.php?t=83894 где много флуда на эту тему ;)
Анонимному: Я так подозреваю, что это данные на уровне слухов и эти цифры занежены.
ОтветитьУдалитьtoparenko: по поводу очень широкой формулировки в законе понятия обработки ПДн полностью согласен.
Разве электронная почта, это ПДн специальной категории?
Необходимо разделять понятие "адреса электронной почты" и "содержимого электронной почты". Если я правильно понимаю, то адрес является ПДн, а содержимое почты далеко не всегда является таковым. Это можно установить только проверив почту...наверно. Тут возникает другая проблема - тайна чатной переписки и т.п.
А вообще, личная почта не должна использоваться в рабочее время, это бесспорно. Поэтому обрубаем ее для всех юзеров и живем спокойней.
За ссылки спасибо, стараюсь их посещать...
>Разве электронная почта, это ПДн специальной категории?
ОтветитьУдалитьВероятность, что в личной почте какой-либо струдник расскажет "как он сломал палец, ковыряясь в носу" или не поддерживает ЕдРо?
А ниже будет его ФИО и должность...
да, действительно все можно довести до абсурда. Это из той же оперы, что если в ИС имеется хотябы одна фотография сотрудника, то это уже К1, т.к. по фотографии можно определить пол, рассовую пренадлежность, косвенно - состояние здоровья и т.п.
ОтветитьУдалить>Это из той же оперы, что если в ИС имеется хотябы одна фотография сотрудника, то это уже К1
ОтветитьУдалитьДля этого надо минимум, чтоб фото подходило под ГОСТ Р ИСО/МЭК 19794-5-2006 - http://protect.gost.ru/document.aspx?control=7&id=128640
:-D
Совсем не обязательно. Соответствие этому стандарту необходимо только для удобства автоматической обработки изображений. Там ничего не говорится о том, как надо фотографировать, чтобы можно было определить расовую принадлежность или состояние здоровья
ОтветитьУдалить>Соответствие этому стандарту необходимо только для удобства автоматической обработки изображений.
ОтветитьУдалитьЭтот стандар определяет требования к фото, чтоб данные изображения лица можно было считать бимоетрическими данными ;)
>Там ничего не говорится о том, как надо фотографировать, чтобы можно было определить расовую принадлежность
Сможете определить национальную принадлежность по этому фото (полностью не соответствует указанному ГОСТу) - http://toparenko.livejournal.com/36720.html#cutid1 :-D
я не смогу определить, но специалисты смогут ;)
ОтветитьУдалитьИли банальный непрофессионализм, или очередная попытка напугать Операторов с Регуляторами.
ОтветитьУдалить- НЕ ВСЕ ИСПДн подлежат обязательной аттестации, а лишь 1к и 2к.
- аттестуют не лаборатории, а лицензиаты ФСТЭК по ТЗКИ.
*** Сможете определить национальную принадлежность по этому фото
- топаренко благополучно считает класс 1К гос.тайной.
- ФЗ-152 не рассматривает "может быть" и прочее сослагательное, а рассматривает фактическое состояние базы данных.
Пугайте себя, если Вам за это деньги платят.
Ктото пугает регуляторами, а ктото наоборот пытается донести, что регуляторы сейчас сами находятся в режиме обучения)).
ОтветитьУдалитьЗаблуждение многих, что 1К это гостайна. Требования к безопасности систем 1К и систем с гостайной идентичны и не более.