понедельник, 20 мая 2013 г.

Приказ 21 ФСТЭК (ссылка)

14 мая 2013 года 21й Приказ ФСТЭК был зарегистрирован в Минюсте. Найти оригинал текста было не очень просто, но вот она, наконец, рабочая ссылка!
Мой короткий анализ:
1. Приказ ФСТЭК № 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных".
2. Криптография естественно не входит, т.к. ФСТЭК ею не занимается (спасибо, кэп :)).
3. Защиту персональных данных организация может организовать либо самостоятельно, либо нанять юр. лицо (или ИП) с лицензией на ТЗКИ.
4. В тексте есть ссылка на Постановление Правительства 1119 (здесь я о нем писала). Это несомненный плюс, документы и должны образовывать единую систему.
5. Необходимо самостоятельно или же с привлечением организации проверять эффективность принимаемых мер не реже, чем раз в 3 года.
6. Определена процедура подбора мер защиты, описаны основные категории таких мер.
7. По аналогии с требованиями к классам ИСПДн в новом документам указаны меры для каждого уровня системы.

Более подробный анализ будет приведен позже. Пока же меня мучает один вопрос: привлекать организацию можно только при условии наличия у нее лицензии, а вот про то, что организация должна получать лицензию на защиту себя не сказано... Т.е. один и тот же вид деятельности можно вести как без разрешительного документа (самостоятельно), так и при обязательном его наличии (оказание услуг)? Не сделает ли это жизнь интегратора еще тяжелее - зачем платить за то, что можно сделать бесплатно?... С другой стороны, скорее всего наличие лицензии у оператора подразумевается, т.к. технической защитой можно заниматься исключительно при ее наличии... Буду рада услышать Ваше мнение!

воскресенье, 12 мая 2013 г.

Утрата информации

Здравствуйте дорогие читатели! Часто неспециалисты путают понятия "утраты" и "утечки информации" (но мы-то с Вами эту разницу хорошо понимаем). Хотя защита от потери данных - в основном дело ИТ-подразделений, безопасникам тоже нужно разбираться в основных тенденциях. Ибо не только конфиденциальность нужно соблюдать, но и обеспечивать целостность и доступность. Важны как резервное копирование и восстановление данных, так и организационные меры. А какие - узнаете, прочитав мою новую статью :в майском номере "Директора по безопасности" :) К сожалению, материала нет в открытом доступе и ознакомиться с ним можно лишь, подписавшись на журнал. 
Несмотря на то, что это уже 31-я публикация, каждый раз испытываю определенное волнение перед выходом статьи в свет и очень надеюсь, что мои советы будут полезными. Приятного Вам чтения!

вторник, 7 мая 2013 г.

Границы применимости закона "О персональных данных"

Сколько закон о персональных данных не читай, все равно не поймешь:) Это как раз тот случай, когда два специалиста - три мнения. Споры возникают даже из-за сферы применения закона. Попробуем с этим разобраться.
В самом законе сфера применения определяется, как отношения, связанные с обработкой персональных данных с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

Первое условие - обработка с использованием средств автоматизации - понятно без объяснений. Последнее определение автоматизированной обработки достаточно однозначно:

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

Согласно Госту Р 50739-95:
Под СВТ в данном стандарте понимается совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Т.е. вся обработка персональных данных на компьютере (за исключением исключений, отдельно указанных в законе) попадает под действие ФЗ 152. Напоминаю, что под персональными данными понимается любая информация, прямо или косвенно относящаяся к физическому лицу. 

Комментарий. Исключения в общем виде следующие (статья 2 ФЗ "О персональных данных" в вольном изложении):
Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1)обработке физическими лицами для личных нужд;
2) обработке архивных данных;
3) обработке государственной тайны;
4) предоставлении информации о деятельности судов.
Я бы хотела порекомендовать Вам ознакомиться с постатейным комментарием к ФЗ, написанным Петровым М.И. - ссылка. Очень хороший материал, не смотря на то, что написан еще в 2007 году, но многие правовые проблемы остались неизменными.

Дальше все не так просто! Возникает две проблемы:
1. Как определить, соответствует ли характер обработки действиям с использованием средств автоматизации? Это довольно философский вопрос. Понятно, что картотеки - они упомянуты в тексте статьи - попадают под действие закона. А можно ли сказать то же самое о папках с документами, например, доверенностями? Поиск персональных данных в них достаточно затруднителен, но все же возможен. 100% исключением из закона будет, видимо, передача данных без фиксации на бумаге или каком-либо другом материальном носителе. Отсюда возникает вопрос № 2.
2. Обработка не попадающая под действие ФЗ 152 никак не регулируется? Что будет с тем, кто станет разглашать персональные данные, вслух называя ФИО, должности и номера паспортов в публичном месте?:) Ответ: см. статью 24 Конституции:
Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

Комментарий к этой статье можно прочесть здесь - ссылка.

Но вот вроде бы разобрались со сферой применения закона... Или не разобрались...:)