Начнем с исходных данных. Возьмем мой смартфон Nokia E61i. В нем есть (помимо всего прочего) телефонная книжка с персональными данными моих коллег по работе, а также руководителей служб ИБ разных компаний, с которыми я общаюсь и которые работают в разных регионах нашей необъятной Родины. Число таких контактов невелико — всего 2-3 сотни. Теперь посмотрим, что это значит для меня с точки зрения закона «О персональных данных».
1. Мой телефон является ИСПДн, которую можно отнести к разряду однопользовательских.
2. Личными и семейными нуждами пользование телефона не ограничивается.
3. Класс данной ИСПДн вычисляется как функция от объема ПДн и категории ПДн. Значение объема для меня будет не 3, как можно было бы предположить (менее 1000 субъектов ПДн), а 1, т.к. эти субъекты разбросаны по разным субъектам РФ. Категория будет вторая. Таким образом, итоговый класс моей ИСПДн будет К1.
4. Что я должен сделать для защиты своей ИСПДн? Немало. Я должен:
— защищать как сами ПДн в телефонной книжке, так и все телефонные переговоры с субъектами ПДн. Причем последнее должно выполняться сертифицированными средствами криптографической защиты информации
— средства защиты моего телефона должны иметь сертификат ФСТЭК
— ПО моего телефона (как минимум телефонная книжка) должно быть сертифицировано на отсутствие недекларированных возможностей
— провести аттестацию своего телефона
— иметь лицензию ФСБ на шифрование (ведь я обязан шифровать ПДн)
— иметь на телефоне IDS, обнаруживающие аномалии
— иметь МСЭ 3-го класса
— реализовать замкнутую программную среду
— автоматически идентифицировать и аутентифицировать аппаратные составляющие моего телефона
— реализовать ролевое управление системой защиты своего телефона
— контролировать информационные потоки к системе защиты своего телефона
— очищать оперативную память после завершения работы с ПДн
— маркировать и регистрировать все печатаемые с телефона данные (а посылать на печать он умеет)
— автоматически контролировать корректность работы аппаратных частей телефона
— реализовать автоматичесую проверку на наличие ПМВ при импорте в ИСПДн всех программных средств, которые могут содержать ВП, путем проверочной их активизации в специальной изолированной виртуальной среде, моделирующей среду ИСПДн, с анализом их кода методами трассировки и отладки непосредственно во время активного состояния программных средств
— установить на телефон Honeypot
— идентифицировать и аутентифицировать вход в систему защиты, а также любую операцию управления
— регистрировать запуск/останов работы всех подсистем системы защиты
— регистрация каждой операции управления системой защиты
— установить на телефон поведенческую HIPS
— автоматически блокировать обнаруженные атаки
— контролировать целостность системы защиты, ее обновлений и компонентов
— обеспечить физическую охрану телефона
— регулярно сканировать телефон на предмет наличия в нем уязвимостей
— иметь второй телефон с копией системы защиты для ее периодического обновления и контроля работоспособности
— и еще по мелочи…
5. Что у меня все-таки реализовано:
— блокирование терминала после заданного интервала неактивности
— антивирусный контроль
— идентификация при входе в телефон по паролю условно-постоянного действия не короче 6 символов.
И как позвольте все это выполнить? А ведь у меня смартфон еще из продвинутых и я, по идее, могу на него поставить какие-нибудь защитные системы (если бы они существовали в природе). А что делать пользователям обычных телефонов?
Ну антивирус-то зачем на платформе, для которой еще ни одного вируса не существует? 😉
Алексей, я сейчас очень зажат по времени, но на беглый взгляд это не ИСПДН, т.к. физические лица не идентифицируются — Ф.И.О., места работы и номера телефона недостаточно, чтобы однозначно указать на человека, нужна еще какая-нибудь система с помощью которой это можно будет сделать — например, база опсоса или, скажем, база налоговой (чтобы выявить, что такое сочетания Ф.И.О. уникально). Вот она-то и есть ИСПДН, а твоя Нокия просто Нокия.
ФИО/фирма/должность/контакты напечатаны на всех визитках мира, однако визиткодатели не передают вместе с визиткой письменное согласие на обработку, а визиткополучатели не бегут ставиться на учет в качестве операторов. А ведь в большинстве стран мира законодательство о персональных данных точно такое же, в Евросоюзе особенно.
Ну антивирус-то зачем на платформе, для которой еще ни одного вируса не существует? 😉
А он еще и антиспам заодно реализует 😉
Что, были случаи, когда он успешно блокировал спам по SMS/MMS? 😉
однако визиткодатели не передают вместе с визиткой письменное согласие на обработку
А у тебя не автоматизированная обработка в данном случае.
А ведь в большинстве стран мира законодательство о персональных данных точно такое же, в Евросоюзе особенно.
Конвенция одна, подзаконные акты разные.
на беглый взгляд это не ИСПДН, т.к. физические лица не идентифицируются
Согласно определению «персональные данные» — это любая информация об определенном или поддающемся определению физическом лице. Это определение находится ВЫШЕ чем определение 152 ФЗ.
Что, были случаи, когда он успешно блокировал спам по SMS/MMS?
Регулярно 😉 Когда едешь заграницу и тебе какой-то оператор присылает напоминалки про то, что он самый лучший в этом регионе 😉
> это любая информация об
> определенном или поддающемся
> определению физическом лице
От замены «бумажной» на «автоматизированную», «идентифицируемого» на «определяемого» и «относящейся» на «об» суть дела не меняется — укажи-ка на конкретное физическое лицо сначала.
У тебя в контактах есть имярек (Василий, условно говоря, Пупкин), а также место работы и телефон.
Я тебе предложу его опознать в группе лиц или распечатаю все адреса, по которым проживают Василии Пупкины — ну-ка покажи пальцем, опираясь только на свою книжку-то.
А ты считаешь, что «опознать» можно только физически? Путем предъявления трудовой книжки?
Алексей, идентификация физического лица — это однозначный линк на конкретный организм. Если Вы не можете сказать, к какому именно Пупкину относятся Ваши знания, что он CSO Рогов&Копыт с телефоном 31415926, то это ни разу не персональные данные.
Офтопик по итогам прослушивания презентации:
а) можно точную формулировку про межрегиональных/мономуниципальных субъектов?
б) примером многопользовательской ИСПДН с одинаковыми пользовательскими правами является клиентская база (тех, кто с физиками работает), особенно если в Экселе.
по поводу телефона… и так.. масла подлить …
вот основной перечень документов по ПДн
1.1. Указ Президента Российской Федерации № 188 «Об утверждении перечня сведений конфиденциального характера» (в ред. Указа Президента РФ от 23.09.2005 N 1111).
1.2. Федеральный Закон № 149-ФЗ от 27 июля 2006 года «Об информации, информационных технологиях и о защите информации».
1.3. Федеральный Закон № 152-ФЗ от 27 июля 2006 года «О персональных данных».
1.4. Постановление Правительства Российской Федерации № 781 от 17 ноября 2007 г. «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
1.5. Приказы от 13 февраля 2008 года — ФСТЭК России № 55, ФСБ России № 86, Министерства Информационных Технологий и Связи России № 20, «Об утверждении порядка проведения классификации информационных систем персональных данных».
1.6. Приказ № 154 от 28 марта 2008 г. Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия «об утверждении положения о ведении реестра операторов, осуществляющих обработку персональных данных».
1.7. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена заместителем директора ФСТЭК России 14.02.2008.*
1.8. Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена заместителем директора ФСТЭК России 15.02.2008. *
1.9. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена заместителем директора ФСТЭК России 15.02.2008. *
1.10. Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных. Утверждена заместителем директора ФСТЭК России 15.02.2008. *
итак…
в соответствии с 1.1. ПДН => конфиденциальная информация…
непосредственно у Вас лично есть лицензия по конфиденциалке ? ))
так вот ФЗ говорит о чем…
2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
3) обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя;
4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
тоесть можете телефоном пользоваться спокойно… или почти спокойно…
хотелось бы перевести тему в другую плоскость…
так как ПДн = конфиденциалка… то как дружат между собой требования по защите ПДн и требования по защите конфиденциалки…
да.. еще интересный вопрос… про связь с конфиденциалкой…
а если я не использую инф систему а просто на бумажке пишу в ежедневник… я его как вести должен в соответствии с чем ?!
Алексей, идентификация физического лица — это однозначный линк на конкретный организм.
Это из закона? Или личная точка зрения?
можно точную формулировку про межрегиональных/мономуниципальных субъектов?
в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом
И т.д.
примером многопользовательской ИСПДН с одинаковыми пользовательскими правами является клиентская база (тех, кто с физиками работает), особенно если в Экселе
Только она у тебя лежит на компе, к которому доступ с разными правами. Значит защищаешь как с разными правами.
непосредственно у Вас лично есть лицензия по конфиденциалке ? ))
А мне зачем? Я не юрлицо и не частный предприниматель.
тоесть можете телефоном пользоваться спокойно…
Я же четко написал, что я пользуюсь телефоном не в личных целях. А остальные подпункты к телефону не относятся.
как дружат между собой требования по защите ПДн и требования по защите конфиденциалки…
А они у нас есть? Или имеется ввиду СТР-К? Так они рекомендация, а ПДн — обязаловка.
если я не использую инф систему а просто на бумажке пишу в ежедневник… я его как вести должен в соответствии с чем ?!
Если есть признаки, схожие с автоматизированной обработкой, то требования по ПДн к вам тоже применяются.
СТР-К называется как…
СПЕЦИАЛЬНЫЕ ТРЕБОВАНИЯ и ….
это извините, обязаловка…
и лицензируемый вид деятельности…
по сути Вы правы…
если…
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
под этот пункт Вы не попадаете…
то будьте добры все указанное выполнять… !!!
СТР-К. Пункт 2.3 «При проведении работ по защите негосударственных информационных ресурсов, составляющих коммерческую тайну, банковскую тайну и т.д., требования настоящего документа носят рекомендательный характер.»
вот всегда так…
все время какие то недоговоренности…
по идее я должен бы уточнить ту сферу про которую всетаки требования обязательны и посмотреть что ПДн тоже обязаловка… но не буду и так понятно всем…
вот вопрос и возникает как должны дружить между собой две обязаловки…
ответа пока нет… в первую очередь у самих решателей…