27-го марта меня пригласили в Институт банковского дела при АРБ прочитать курс по персональным данным. Я решил тупо не комментировать ФЗ, постановления правительства и документы регуляторов, а посмотреть на них с точки зрения потребителя. Т.е. оценить, как можно обойти жесткие требования ФЗ, параноидальные требования четверокнижия и стоит ли его вообще исполнять, оценим миф про 1-е января 2010 года, ну и т.д.
В сентябре я уже читал аналогичный курс в ИБД и он вызвал большой интерес у слушателей. А с тех пор у нас появилось немало изменений — и 687-е постановление, и документы РСКН, и новая пока невыпущенная вторая редакция четверокнижия. Так что курс должен быть интересным. К тому же организаторы, понимая, что не все могут приехать очно (особенно в регионах), будут использовать онлайн-технологии.
Вот именно как обойти! Ибо выполнить, сидя на К1, просто невозможно. LETA отказалась вести деалог в этом направлении: необходимость выполнения требований ФСТЭК не обсуждается, Постановление 687 игнорируется((
Видимо так и получится.
Другое дело, Операторов больше интересует вопрос не «как их защищать» а что сделать минимально для того чтоб на них не «наезжали». При этом недостаточно просто обходить или прикрываться юридически. А именно минимально но что то сделать, потому как они находятся в условиях когда им могут приказать, выдумать повод для наезда, а персональные данные это удобный повод для поднятия общественного резонанса !!! Понимаете ))) ПДн могут играть свою роль и в политической борьбе …
Мне видится несколько путей решения проблемы в конкретно моем случае:
— прикрыться П687 и прикинуться ветошью,
— уйти с К1, заставив клиентов (у нас именно клиенты) раскрыть свои ПД, согласившись с определенными условиями договора (нужна проработка),
— длительно делать вид, что мы что-то делаем
— пытаться банально «договориться».
Среди возможных вариантов, как видно, вариант с исполнением требований даже не рассматривается, ибо аттестовать оперзал крупной страховой компании или банка просто нереально. А еще ПЭМИН, а еще специалисты в штате по обслуживанию криптосредств, лицензии ФСТЭК, сертификаты на компоненты систем и т.д. Это в самом деле паранойя. Как это они еще не додумались коммерческую тайну от ПЭМИН защищать? Столько сертифицированных средств можно продать!
QuietZone: А кто тебе сказал, что они не додумались КТ по ПЭМИН защищать? Додумались. документ даже есть. Утвержден в 2006-м году. Там даже есть требование сертифицированную стеганографию использовать 😉
QuietZone: Приходи на курс — узнаешь 😉 Кстати, один из варианто — разбить сетку на множество мелких ИСПДн, каждая из которых будет К3. И сделать это на уровне приказа по предприятию. Т.к. это ваше право, то запретить вам это никто не может.
swan’у: Согласен. Мне вот кажется, что на УРСА-банк наехали именно конкуренты, а не просто нашелся законолюбивый «физик».
О разбиении думал, только на практике осуществить нереально. Не, приказ-то настрочить без проблем, но фактически развести ИС не получится. Кстати, если не ошибаюсь, даже виланами этого не сделаешь, только МСЭ, ессно сертифицированный, так?
Алексей Лукацкий:Сертифицированная стенография это очень уж :):):) А что за документ такой?
Swan: Такое положение дел, не только с операторами с большинством компаний, а те которые попадают под исключения в большинстве случаев используют метод личных договоренностей!
Maria: Методические рекомендации по технической защите информации, составляющей коммерческую тайну. Утверждены 25 декабря 2006 года.
Рассматривает ли кто-нибудь такой вариант, как регулярно платить штраф по ст.13.11 КоАП?
Конечно рассматриваем, но скорее как крайнюю меру. Дело не в деньгах, конечно — 10, даже 100 тыщ не деньги для крупной организации. Беспокойство вызывает скорее сам факт признания нарушения. Совершенно неизвестно, какие это может навлечь беды в дальнейшем (например лишение лицензии). Мне недавно рассказывали, как человек, укравший вещь (CCTV пофиксила вынос), возвращает потерпевшему стоимость. Вроде честный поступок, а между тем как раз этого и ждут опера, т.к. это единственное свидетельство совершения преступления (совершенно реальный случай). В общем признавать вину уплатой штрафа не очень хочется.
Прикрывайтесь аттестатом какого либо центра и все… дешевле будет…;)
infowatch’у: Дело в том, что отделаться только 13.11 может и не получиться, если начнут копать. У меня «миф» описан (правда, его почему-то не публикуют пока), по которому статей около 20 и максимальный ущерб — 500 тысяч рублей и приостановление деятельности.
Вот написал бы уведомление, хоть формально и не требуется, принял у себя проверочку — тогда и других учить можно с чистой совестью ;))
Ну ты же знаешь пословицу: Кто умеет — делает. Кто не умеет — учит. Кто не умеет ни того, ни другого — руководит. Так что я остановился на второй стадии 😉
Ну а что касается уведомления, то наши юристы сейчас «много думают» об этом. Ведь бизнес встать не должен 😉 Это первично.
То что ни при каких обстоятельствах нельзя залезать в К1-2 это понятно.. Думаю во второй редакции документов ФСТЭК параноидальность требований хоть и будет нивелирована смягчением или полным отсутствием требований по ПЭМИНам и тп (по слухам), но тем не менее останется.. 687 постановление требует на мой взгляд такой же методнонормативной макулатуры как м 781е. Пока его нет, и будет ли?
Так что на данный момент любой учебный курс по ПДн представляется в общем достаточно простым по содержанию — как привести в соответствие с К3. А для К3 больше организационных требований на мой взгляд и то большинство из них давно введено в том или ином виде на любом предприятии мало-мальски заботящемся о безопасности той же КТ и себя любимых (физзащита).. Т.е. учебная ценность состоит исключительно в приоритении учащимся методы выделения из всего оборота информации процессов с ПДн и её регламентация.
Отдельных курсов заслуживают работники департаментов защиты информации районных поликлиник и больниц ;), но там сложность только в том как оформить взаимодействие с архивной нормативкой (грубо: сами данные в архиве, оперируют только идентификаторами)… Вариантов масса…
Тем не менее не смотря на весь показушный пессимизм хотелось бы посетить этот курс. Стоимость озвучите, пожалуйста?
Стоимость к организаторам 😉
Что касается замечаний по курсу, то я не согласен 😉 Рассказывать можно много о чем. Как обойти требование уведомления? Как не выполнять требования четырехкнижия? Как облегчить себе последствия от процедуры надзора и контроля? Как поставить на место органы надхора и контроля, которые не знают законов? И т.п.
«Стоимость к организаторам ;-)»
Выяснил, попробуем поучаствовать…
«Что касается замечаний по курсу, то я не согласен 😉 «
А я специально писал о «любом курсе», а не о конкретном. Был на нескольких, впечатления такие. Надеюсь Вы отличаетесь в лучшую сторону.
Ну а сами по себе вопросы, которые Вы поставили, на самом деле многие пытаются раскрыть в своих учебных курсах, но людям, на мой взгляд, интереснее увидеть чёткую схему процесса «приведения в соответствие»(с чего начать, к кому подойти, какие документы разработать, какой антивирус поставить и тп).
Дело в том, что у многих задачи противоположные. Кому-то надо привести в соответствие и алгоритм тут один (идти к лицензиату). Кому-то надо вообще уйти от данных документов — алгоритм другой. А кому-то нужно понизить класс ИСПДн и тогда алгоритм будет третий. Я их буду рассматривать.
будет ли такой курс читаться повторно — в апреле-мае?
Turkish
К организаторам 😉 Будут запросы — будут читать.