29 июля 2011 г.

Выполнение требований ФЗ-152 предприятиями, ведущими бизнес в Интернете

В последние дни, и, не в последнюю очередь, в связи с продолжающимися дискуссиями вокруг поисковиков, в наше агентство от предприятий, ведущих бизнес в Интернете (Интернет-торговля, прием заказов, информационные услуги и др.) поступает большое количество вопросов, связанных с соответствием требованиям ФЗ-152 «О персональных данных» и внесенными в него ФЗ-261 от 27.07.11 изменениями.
Для заинтересованных 23 августа компанией «Код Безопасности» будет проводиться вебинар, в котором приму участие и я в качестве эксперта Консалтингового агентства «Емельянников, Попова и партнеры» J. Особое внимание в презентации будет уделено сложным проблемам достижения соответствия ФЗ-152 в интернет-магазинах и действиям, которые предприятиям электронного бизнеса необходимо предпринять, чтобы минимизировать риски предъявления санкций со стороны госрегуляторов и при этом не понести чрезмерных затрат.
Участие в вебинаре бесплатное, но по предварительной записи. Участникам вебинара будет предоставлена возможность задать вопросы экспертам. Более подробная информация о вебинаре - здесь.

4 комментария:

  1. Интересна роль DLP-систем и SIEM во всём этом. Если статьёй (дай бог памяти) 19 в ФЗ 152 компании разрешено самостоятельно выбирать чем и как защищать (лишь бы по ФСТЭК подошло), то почему не предусмотрено ответственности за "не совсем качественную" защиту? Имеется в виду что-то в таком роде: http://goo.gl/pSqWA

    ОтветитьУдалить
  2. Алексей, не очень понял, в чем вопрос. Регуляторы про DLP и SIEM. Выбирать самостоятельно никто никому ничего не разрешал. Ст.19: "Правительство с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:
    1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;
    2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных"
    Где тут выбор?
    Ответственности закон вообще никакой ни за что не устанавливает.
    Надо Вам DLP и SIEM? Используйте на здоровье. Но, если сертификатов нет, в описание системы защиты на включайте.

    ОтветитьУдалить
  3. Выбор в том, что можно защищать теми продуктами, которые прошли сертификацию. Пример по ссылке не зря приводил. Сомневаюсь, что у такой компании, как McAfee нет сертификата ФСТЭК. Но из обсуждения видно, что их DLP-система обходится сразу несколькими способами.

    Учитывая, что закон ответственности не устанавливает, получаем следующее: чтобы не получить нагоняй от государство, чиновник ставит защиту, выполняя ФЗ 152. Но ставит такой продукт, который можно будет обойти. В итоге и закон выполнили, и данные продолжают утекать через бреши в системе. А ответственности не несёт по закону.

    Спрашивается, в чём смысл тогда?

    ОтветитьУдалить
  4. У меня в предыдущем комменте фраза куда-то съелась. Д.б. так:"Регуляторы про DLP и SIEM ничего не знают и не говорят". Cомневаться не надо. Просто зайдите на сайт ФСТЭК и посмотрите http://www.fstec.ru/_razd/_serto.htm. У McAfee нет вообще ни одного сертификата. Да и не в этом дело совсем. Не надо, чтобы выполнить требования, ставить DLP и SIEM. Вообще. А смысл - совсем в другом. Читайте письмо Президенту и массу других комментариев.

    ОтветитьУдалить