14 сентября 2011 г.

Несимметрично, но адекватно

Пока наши регуляторы решают практически неразрешимую в терминах ФЗ-152, но крайне актуальную задачу соответствия принятых оператором мер по защите персональных данных требованиям федерального закона, ведущие игроки российского рынка информационной безопасности предложили свой адекватный, но не симметричный ответ на вызов регуляторов.
В течение почти пяти лет правоприменения закона «О персональных данных» стало очевидно, что ни аттестация информационных систем (в соответствии с Положением Гостехкомиссии, с 1994 г. - ФСТЭК), ни сертификация информационных технологий (по ГОСТ ИСО/МЭК 15408), ни декларирование соответствия по закону о техническом регулировании для информационных систем персональных данных не подходят. Причин – множество, в Интернете об этом написано много, повторяться не будем.
А когда нет предложений у регуляторов, естественно ожидать предложений от игроков рынка. И они не заставили себя ждать.
Ведущие компании, предлагающие услуги и продукты для защиты персональных данных в России: «Альт Линукс», «Аладдин Р.Д.», «Доктор Веб», «Лаборатория Касперского», «Код Безопасности», InfoWatch, McAfee, – выдвинули идею создания «Народного логотипа защиты ПДн» для компаний-операторов, защитивших персональные данные в соответствии с №152-ФЗ «О персональных данных».
Учитывая требования закона об обязательности оценки соответствия средств защиты персональных данных (читай – их сертификации в системах ФСТЭК и/или ФСБ), инициаторы вполне логично предложили использовать логотип для систем, построенных на сертифицированных решениях.
Теперь остается ждать развития этого интересного начинания. Наверное, следующим шагом должно стать четкое определение того, что конкретно значит размещение логотипа на сайте оператора для каждого конкретного субъекта. Учитывая требования закона об опубликовании политики оператора в отношении обработки персональных данных и сведений о реализуемых требованиях к их защите, логотип будет неким аналогом декларирования соответствия, причем кто-то должен будет подтвердить, при необходимости, легитимность его использования.
Логично было бы предположить, что после голосования и выбора логотипа появится положение о том, кто и как его предоставляет для скачивания, можно ли отозвать скачанный логотип, что подтверждает законность его получения и т.д. Иначе существует реальная опасность того, что логотип начнут бесконтрольно размещать на своих сайтах все желающие, и красивую идею угробят. Да и о том, как соотнести идею с позицией регуляторов, тоже можно было бы подумать.
Так что ждем. Идея добровольной сертификации средств защиты информации в профессиональном сообществе витает давно. Может быть, логотип станет очередным шагом в этом направлении? Голосуйте! 

1 комментарий:

  1. По-моему ограничивать доступ к логотипу смысла нет. технически это не возможно сделать.

    Логотип возможно стоит рассматривать как дополнительная информация клиенту. У кого есть логотип - у тех можно запросить политику и т.п.

    ОтветитьУдалить