Курс по персональным данным в ИБД АРБ

27-го марта меня пригласили в Институт банковского дела при АРБ прочитать курс по персональным данным. Я решил тупо не комментировать ФЗ, постановления правительства и документы регуляторов, а посмотреть на них с точки зрения потребителя. Т.е. оценить, как можно обойти жесткие требования ФЗ, параноидальные требования четверокнижия и стоит ли его вообще исполнять, оценим миф про 1-е января 2010 года, ну и т.д.

В сентябре я уже читал аналогичный курс в ИБД и он вызвал большой интерес у слушателей. А с тех пор у нас появилось немало изменений — и 687-е постановление, и документы РСКН, и новая пока невыпущенная вторая редакция четверокнижия. Так что курс должен быть интересным. К тому же организаторы, понимая, что не все могут приехать очно (особенно в регионах), будут использовать онлайн-технологии.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Анонимный

    Вот именно как обойти! Ибо выполнить, сидя на К1, просто невозможно. LETA отказалась вести деалог в этом направлении: необходимость выполнения требований ФСТЭК не обсуждается, Постановление 687 игнорируется((

    Ответить
  2. Анонимный

    Видимо так и получится.
    Другое дело, Операторов больше интересует вопрос не «как их защищать» а что сделать минимально для того чтоб на них не «наезжали». При этом недостаточно просто обходить или прикрываться юридически. А именно минимально но что то сделать, потому как они находятся в условиях когда им могут приказать, выдумать повод для наезда, а персональные данные это удобный повод для поднятия общественного резонанса !!! Понимаете ))) ПДн могут играть свою роль и в политической борьбе …

    Ответить
  3. Анонимный

    Мне видится несколько путей решения проблемы в конкретно моем случае:
    — прикрыться П687 и прикинуться ветошью,
    — уйти с К1, заставив клиентов (у нас именно клиенты) раскрыть свои ПД, согласившись с определенными условиями договора (нужна проработка),
    — длительно делать вид, что мы что-то делаем
    — пытаться банально «договориться».

    Среди возможных вариантов, как видно, вариант с исполнением требований даже не рассматривается, ибо аттестовать оперзал крупной страховой компании или банка просто нереально. А еще ПЭМИН, а еще специалисты в штате по обслуживанию криптосредств, лицензии ФСТЭК, сертификаты на компоненты систем и т.д. Это в самом деле паранойя. Как это они еще не додумались коммерческую тайну от ПЭМИН защищать? Столько сертифицированных средств можно продать!

    Ответить
  4. Алексей Лукацкий

    QuietZone: А кто тебе сказал, что они не додумались КТ по ПЭМИН защищать? Додумались. документ даже есть. Утвержден в 2006-м году. Там даже есть требование сертифицированную стеганографию использовать 😉

    QuietZone: Приходи на курс — узнаешь 😉 Кстати, один из варианто — разбить сетку на множество мелких ИСПДн, каждая из которых будет К3. И сделать это на уровне приказа по предприятию. Т.к. это ваше право, то запретить вам это никто не может.

    swan’у: Согласен. Мне вот кажется, что на УРСА-банк наехали именно конкуренты, а не просто нашелся законолюбивый «физик».

    Ответить
  5. Анонимный

    О разбиении думал, только на практике осуществить нереально. Не, приказ-то настрочить без проблем, но фактически развести ИС не получится. Кстати, если не ошибаюсь, даже виланами этого не сделаешь, только МСЭ, ессно сертифицированный, так?

    Ответить
  6. Мария Сидорова

    Алексей Лукацкий:Сертифицированная стенография это очень уж :):):) А что за документ такой?

    Swan: Такое положение дел, не только с операторами с большинством компаний, а те которые попадают под исключения в большинстве случаев используют метод личных договоренностей!

    Ответить
  7. Алексей Лукацкий

    Maria: Методические рекомендации по технической защите информации, составляющей коммерческую тайну. Утверждены 25 декабря 2006 года.

    Ответить
  8. Анонимный

    Рассматривает ли кто-нибудь такой вариант, как регулярно платить штраф по ст.13.11 КоАП?

    Ответить
  9. Анонимный

    Конечно рассматриваем, но скорее как крайнюю меру. Дело не в деньгах, конечно — 10, даже 100 тыщ не деньги для крупной организации. Беспокойство вызывает скорее сам факт признания нарушения. Совершенно неизвестно, какие это может навлечь беды в дальнейшем (например лишение лицензии). Мне недавно рассказывали, как человек, укравший вещь (CCTV пофиксила вынос), возвращает потерпевшему стоимость. Вроде честный поступок, а между тем как раз этого и ждут опера, т.к. это единственное свидетельство совершения преступления (совершенно реальный случай). В общем признавать вину уплатой штрафа не очень хочется.

    Ответить
  10. Анонимный

    Прикрывайтесь аттестатом какого либо центра и все… дешевле будет…;)

    Ответить
  11. Алексей Лукацкий

    infowatch’у: Дело в том, что отделаться только 13.11 может и не получиться, если начнут копать. У меня «миф» описан (правда, его почему-то не публикуют пока), по которому статей около 20 и максимальный ущерб — 500 тысяч рублей и приостановление деятельности.

    Ответить
  12. Анонимный

    Вот написал бы уведомление, хоть формально и не требуется, принял у себя проверочку — тогда и других учить можно с чистой совестью ;))

    Ответить
  13. Алексей Лукацкий

    Ну ты же знаешь пословицу: Кто умеет — делает. Кто не умеет — учит. Кто не умеет ни того, ни другого — руководит. Так что я остановился на второй стадии 😉

    Ну а что касается уведомления, то наши юристы сейчас «много думают» об этом. Ведь бизнес встать не должен 😉 Это первично.

    Ответить
  14. Иван Клименко

    То что ни при каких обстоятельствах нельзя залезать в К1-2 это понятно.. Думаю во второй редакции документов ФСТЭК параноидальность требований хоть и будет нивелирована смягчением или полным отсутствием требований по ПЭМИНам и тп (по слухам), но тем не менее останется.. 687 постановление требует на мой взгляд такой же методнонормативной макулатуры как м 781е. Пока его нет, и будет ли?

    Так что на данный момент любой учебный курс по ПДн представляется в общем достаточно простым по содержанию — как привести в соответствие с К3. А для К3 больше организационных требований на мой взгляд и то большинство из них давно введено в том или ином виде на любом предприятии мало-мальски заботящемся о безопасности той же КТ и себя любимых (физзащита).. Т.е. учебная ценность состоит исключительно в приоритении учащимся методы выделения из всего оборота информации процессов с ПДн и её регламентация.

    Отдельных курсов заслуживают работники департаментов защиты информации районных поликлиник и больниц ;), но там сложность только в том как оформить взаимодействие с архивной нормативкой (грубо: сами данные в архиве, оперируют только идентификаторами)… Вариантов масса…

    Тем не менее не смотря на весь показушный пессимизм хотелось бы посетить этот курс. Стоимость озвучите, пожалуйста?

    Ответить
  15. Алексей Лукацкий

    Стоимость к организаторам 😉

    Что касается замечаний по курсу, то я не согласен 😉 Рассказывать можно много о чем. Как обойти требование уведомления? Как не выполнять требования четырехкнижия? Как облегчить себе последствия от процедуры надзора и контроля? Как поставить на место органы надхора и контроля, которые не знают законов? И т.п.

    Ответить
  16. Иван Клименко

    «Стоимость к организаторам ;-)»
    Выяснил, попробуем поучаствовать…

    «Что касается замечаний по курсу, то я не согласен 😉 «
    А я специально писал о «любом курсе», а не о конкретном. Был на нескольких, впечатления такие. Надеюсь Вы отличаетесь в лучшую сторону.

    Ну а сами по себе вопросы, которые Вы поставили, на самом деле многие пытаются раскрыть в своих учебных курсах, но людям, на мой взгляд, интереснее увидеть чёткую схему процесса «приведения в соответствие»(с чего начать, к кому подойти, какие документы разработать, какой антивирус поставить и тп).

    Ответить
  17. Алексей Лукацкий

    Дело в том, что у многих задачи противоположные. Кому-то надо привести в соответствие и алгоритм тут один (идти к лицензиату). Кому-то надо вообще уйти от данных документов — алгоритм другой. А кому-то нужно понизить класс ИСПДн и тогда алгоритм будет третий. Я их буду рассматривать.

    Ответить
  18. Анонимный

    будет ли такой курс читаться повторно — в апреле-мае?

    Turkish

    Ответить
  19. Алексей Лукацкий

    К организаторам 😉 Будут запросы — будут читать.

    Ответить