Постановление Правительства № 1119 по полочкам

Руки, давно тянувшиеся к клавиатуре по поводу нового шедевра нормативного регулирования, уже отбиты до костей. Больше сдерживать себя и терпеть не удается. Придется написать. Тем более, что сегодня Постановление от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", которое отменяет Постановление от 17.11.2007  № 781 вступает в силу. Семь дней со дня опубликования истекают.

Если честно, реакция коллег из профессионального сообщества на новое постановление, фактически определяющего систему построения технической безопасности обработки персональных данных в информационных системах, меня не просто удивила, а, скорее, озадачила. Части, и немалой, оно понравилось, поскольку не содержит, по их мнению, ничего принципиально нового, и гайки дальше не закручивает, а количество требований по сравнению с ПП-781 даже уменьшается. Другая часть коллег документ ругает, но очень обще, в основном за отсутствие конкретики.

У меня о требованиях сложилось несколько иное мнение, я кратко высказывал его на сегодняшнем вебинаре, проводившемся нашим агентством совместно с компанией «Код Безопасности», и количество вопросов, поступивших по этому поводу, окончательно подтолкнуло меня к написанию этого поста.

Для того, чтобы систематизировать свое видение, я придумал несколько полочек, по которым свою оценку документа и разложу. Извините, букв будет много. Очень. Слова тщательно подбирал, так что категория читающих может быть и 0+.

Полочка первая. Соответствие закону. Выпуск в свет ПП-1119 является прямым требованием пунктов 1 и 2 части 3 ст.19 новой редакции 152-ФЗ «О персональных данных». Именно это позволяет мне очень резко оценить состояние дел на этой полочке. Постановление Правительства закону не соответствует. Закон предписывал определить уровни защищенности и требования к ним в зависимости от пяти факторов:

·         возможного вреда субъекту персональных данных,

·         объема обрабатываемых персональных данных,

·         содержания обрабатываемых персональных данных,

·         вида деятельности, при осуществлении которого обрабатываются персональные данные,

·         актуальности угроз безопасности персональных данных.

Виды деятельности, и, что особенно важно, вред субъекту в принятом документе вообще отсутствуют как квалифицирующие признаки. В п.7 Требований оператору  «совсем не гуманно», по другому сказать не могу, предлагается самостоятельно определить тип угроз безопасности персональных данных, актуальных для информационной системы, с учетом оценки возможного вреда, руководствуясь несуществующими пока документами ФСБ и ФСТЭК. Т.е. зав.детсадом или начальник отдела автоматизации трубопрокатного завода (поскольку заниматься подобными проблемами в подобных организациях больше просто некому) будут оценивать вред от разглашения данных персонала, воспитуемых, посетителей и их родственников. При полном отсутствии в стране методических наработок по этой проблеме. Тот, кто хоть немного сталкивался с подобными вопросами, знает, что проблема определения размера вреда при нарушении гражданских прав является одной из самых сложных в юриспруденции и судопроизводстве. Но, видимо, вспомнив классический постулат о возможностях каждой кухарки, авторы решили, что решить проблему можно краудсорсингом. Операторов-то по оценке Роскомнадзора – порядка семи миллионов. Глядишь, чего и наизобретают. Классический пример перекладывания проблемы с одной головы на другую, сами знаете, каких.

С видами деятельности тоже засада. Принимая во внимание, что новая редакция закона не оставляет места для отраслевых стандартов работы с персональными данными, учитывать эти самые виды придется одним только способом – придумывая для них дополнительные к изобретенным ФСБ и ФСТЭК угрозы безопасности, что, собственно, и прописано в частях 5 и 6 той же статьи 19 закона. Точка. Только определить новые угрозы, а не предусмотреть какие-либо послабления, подобные тем, что в свое время согласовал со ФСТЭКом Минздрав в своих методических документах.

Полочка вторая. Методология. Полочка самая …плохо повешенная. Так как в методологии – самые главные, ключевые проблемы документа. Объявляя главными угрозами, неминуемо ведущими к установлению высших уровней защищенности (см. таблицу 1), недекларированные (недокументированные) возможности в системном и прикладном программном обеспечении, Требования не предлагают вообще никаких методов и способов их нейтрализации. Ибо такими способами может быть только проверка этого самого ПО на отсутствие закладок и прочих вредных привычек. А этого от операторов, во всяком случае в ПП-1119 никто не требует.

Таблица 1

Тип ИСПДн	Сотрудники оператора	Количество субъектов	Тип актуальных угроз
			1	2	3
ИСПДн-С	Нет	> 100 000	УЗ-1	УЗ-1	УЗ-2
	Нет	< 100 000	УЗ-1	УЗ-2	УЗ-3
	Да
ИСПДн-Б			УЗ-1	УЗ-2	УЗ-3
ИСПДн-И	Нет	> 100 000	УЗ-1	УЗ-2	УЗ-3
	Нет	< 100 000	УЗ-1	УЗ-3	УЗ-4
	Да
ИСПДн-О	Нет	> 100 000	УЗ-2	УЗ-2	УЗ-4
	Нет	< 100 000	УЗ-2	УЗ-3	УЗ-4
	Да

Лечиться от логических бомб, бэк-доров и иной нечисти предлагают старыми проверенными методами - клистиром с патефонными иголками и гипсованием непереломанных конечностей. См. таблицу 2.

Таблица 2

Требования	Уровни защищенности
	1	2	3	4
Режим обеспечения безопасности помещений, где обрабатываются персональные данных	+	+	+	+
Сохранность носителей персональных данные	+	+	+	+
Перечень лиц, допущенных к персональным данным	+	+	+	+
СЗИ, прошедшие процедуру оценки соответствия	+	+	+	+
Должностное лицо, ответственное за обеспечение безопасности персональных данных в ИСПДн	+	+	+	-
Ограничение доступа к содержанию электронного журнала сообщений	+	+	-	-
Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным	+	-	-	-
Структурное подразделение, ответственное за обеспечение безопасности персональных данных	+	-	-	-

Каким образом использование сертифицированных межсетевых экранов и назначение ответственного подразделения (или ответственного лица) может помочь предотвратить воздействие операционной системы на обрабатываемые данные знают, видимо, только авторы.

Полочка третья. Терминология. А это – самая загадочная часть документа. Откуда появились «сотрудники оператора» и почему они не работники, правовой статус которых четко описан Трудовым кодексом – вопрос простой и очевидный. А вот что такое «электронный журнал сообщений» (п.15) и чем он отличается от «электронного журнала безопасности» (п.16), если отличается вообще – тайна есть великая. Я догадываюсь, что речь идет о логах. Логах чего? ОС? БД? Приклада? СЗИ? Всего вместе или чего-то в отдельности? Вопросы без ответов.

Постановление вводит отсутствующее в законе понятие информационной системы, обрабатывающей общедоступные персональные данные, и считает таковыми полученные только из общедоступных источников персональных данных, созданных в соответствии со ст.8 152-ФЗ.

А если они получены по-другому, например, если это сведения, подлежащие опубликованию и обязательному раскрытию, как сведения из ЕГРЮЛ и ЕГРИП, являющиеся общедоступными в соответствии с Федеральным законом о государственной регистрации юрлиц и индивидуальных предпринимателей. Или сведения об аффилированных лицах эмитента ценных бумаг. Или персональные данные кандидатов в депутаты, подлежащие опубликованию. Как быть с ними? Опять вопрос, не имеющий ответа.

Наконец, оценка соответствия. Термин, не имеющий пояснений применительно к СЗИ ни в одном акте, кроме закрытого Постановления № 330, продолжает кочевать по нормативной базе. Но даже если это Постановление оператор видел, понять, каким образом осуществляется оценка соответствия в ходе государственного контроля и надзора, ему не дано. И оценить последствия ожидания прихода контролера и его поведения при виде несертифицированных средств тоже. Ну, и не будем забывать, что в новой редакции закона нормативные правовые акты, касающиеся обработки персональных данных, подлежат официальному опубликованию.

Полочка четвертая. Применимость. Постановление может заработать в полном объеме только после принятия соответствующих актов ФСБ и ФСТЭК, предусмотренных ч.4 ст.19 152-ФЗ, а также федеральными органами исполнительной власти, осуществляющими функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органов государственной власти субъектов Российской Федерации, Банка России, органов государственных внебюджетных фондов, иных государственных органов в части определения актуальных угроз безопасности персональных данных (ч.5 ст.19 152-ФЗ, п.2 Требований), которые отсутствуют и неизвестно когда будут приняты. Оператору в этих условиях выполнить установленные требования практически невозможно. Возвращаюсь к заведующей детсадом и начальнику отдела автоматизации трубопрокатного завода. Кто объяснит первой, что такое «недекларированные возможности системного программного обеспечения» и по каким признакам она будет оценивать актуальность этой угрозы? Что может заставить второго эти угрозы признать для своего завода актуальными и взвалить на себя дополнительные проблемы? Как они будут оценивать вред, о котором писалось при разборе первой полочки? Подождем документов ФСБ и ФСТЭК. Что-то мне подсказывает, что просто так отказаться от нейтрализации недекларированных возможностей не удастся. Банки и телеком в конце концов с этим разберутся. А что делать остальным, не имеющим профильных специалистов и лицензий ФСБ/ФСТЭК – школам и вузам, больницам и поликлиникам, ЗАГСам и центрам занятости населения, и пр., и пр.? Ничего, кроме оторопи, подобный документ у них вызвать не может.

Резюме писать не буду. И так все ясно.

Безопасность в Силиконовой долине

Страсть наших всевозможных охранных служб, бюро пропусков и даже обычных рецепшн к фиксации паспортных данных при посещении вполне безобидных офисных центров, далеких от размещения режимных предприятий и организаций, раздражает давно и основательно. На мой взгляд, у владельцев таких зданий отсутствуют какие-либо основания препятствовать посещению арендуемых офисов даже теми, у кого никаких документов нет, особенно если их встречает представитель принимающей организации. Много раз говорил и писал об этом. Но ситуация лучше не становится.

Обычной практикой, в Москве, во всяком случае, становится сканирование, копирование паспорта даже несколько раз за время посещения – на входе в здание, на этаж, а потом и в офис конкретной компании. Зачем это делается, и что потом происходит с персональными данными, никто объяснить не может. Субъектами оперативно-розыскной деятельности частные охранные фирмы и уж тем более секретари на рецепшн не являются, закона, дающего право такой фиксации, у нас в стране нет. Ну, да и бог с ними.

Я о другом.

Во время недавнего посещения компаний в Силиконовой долине я неожиданно получил косвенное подтверждение своих подозрений о наличии явно излишних требований безопасности, предъявляемых у нас в стране при организации допуска в коммерческие организации.

Итак, типовой вариант прохода в здание инновационной, передовой, современной компании где-нибудь в Купертино или Маунтин-Вью. Скрывать им, безусловно, есть что (эти самые пресловутые охраноспособные результаты интеллектуальной деятельности) – иначе бы они не стали знаменитыми «компаниями из Силиконовой долины». Но, тем не менее…

Вас встречает представитель компании, который организует встречу или переговоры. Вместе с ним подходите к рецепшн и от руки вписываете свои ФИО и название компании в Соглашение о неразглашении (NDA, Non disclosure agreement), бланки которого тут же лежат стопочкой. Девушка за стойкой вас фотографирует, вносит в компьютер указанные вами имя и фамилию и печатает бейдж гостя. Все. Охранников на горизонте не видно. На недоуменный вопрос: «А что, с ID (паспортом) сверять данные не будут?» следует не менее недоуменный ответ: «Вас же сопровождает представитель компании, зачем же еще нужен паспорт?». Подчеркиваю, мы уже и соглашение о конфиденциальности заключили. По умолчанию, даже если он об этом не просит, посетителю выдают логин и пароль для использования Wi-Fi на территории компании.

Далее – передвижение по офису с сопровождающим и без видимых ограничений, хороший бесплатный обед с трудовым коллективом. Кстати, в обеденную зону, как правило, можно зайти, минуя рецепшн. Работники на видных местах бейджей на видных местах не носят, бесплатный обед, как показалось, может получить любой желающий (хозяева такую возможность дружно подтверждали, но не видели в этом проблемы – так питание организовано практически у всех, посторонних в этих городах-мегаофисах практически нет). Встречи, переговоры, покидание здания без каких-отметок на выходе и сдачи бейджа. Кстати, США покидаются без паспортного контроля на вылете.

Людей в черном вокруг не видно. Никто не смотрит искоса, низко голову наклоня. Никто не интересуется документами. И что-то мне подсказывает, никто не страдает от несанкционированных действий посетителей, попыток кражи интеллектуальной собственности (в данном случае со стороны сопровождаемых гостей) и нарушений пропускного режима.

А в целом работать в Долине, похоже, здорово. Чистый воздух, широкие зеленые улицы, огромные парковки у каждого здания.  Бесплатные велосипеды почти у каждого офиса, раскрашенные в выбранные компаниями цвета, видимо, чтобы не перепутать по окончании рабочего дня. Вышел, сел на любой стоящий у здания, поехал, оставил у другого здания. 

В этом глубокий смысл – только у Google  в Маунтин-Вью зданий порядка сотни. И народ между ними в рабочее время с удовольствием передвигается на велосипедах. Дорогие машины на стоянках, раскованные хипстеры всех национальностей и цветов кожи. И все улыбаются. Они не думают о безопасности. Они думают о работе.

Последние изменения законодательства о персональных данных и Постановление № 1119

14 ноября в 11:00 совместно с компанией «Код Безопасности» наше агентство проводит уже ставший традиционным вебинар  «Изменения в законодательстве по защите персональных данных: как реализовать новые требования?».

В этот раз он будет особым – впервые мы рассмотрим требования к защите персональных данных при их обработке в информационных системах, установленные только что принятым Постановлением Правительства РФ от 01.11.2012 № 1119, попытаемся разобраться, чем они отличаются от тех, что содержались в утратившем силу Постановлении 2007 г. № 781, что ждать дальше и что надо делать уже сегодня. Участие – только после предварительной регистрации.

Для тех специалистов, которые заинтересованы в систематизированной и основательной подготовке по проблеме защиты персональных данных, в Учебном центре «Информзащита» 12-13 ноября проводиться будет мой авторский курс, в котором Постановление № 1119 будет рассмотрено подробно.

Традиционная битва на арене информационной безопасности

5 октября международная выставка-конференция «INFOBEZ-EXPO» традиционно завершится битвой львов и гладиаторов под девизом "Это весело, это быстро, это мучительно". С удовольствием провожу это конкурс (шоу?) уже который раз. Такого накала страстей, таких эмоций и такой живой реакции присутствующих нет, наверное, ни на одном мероприятии по информационной безопасности.

Для тех, кто не в курсе, очень коротко «правила боя».

Семь «гладиаторов» – представителей 7 компаний-разработчиков и поставщиков средств защиты информации представляют свои наиболее интересные, с их точки зрения, решения для рынка информационной безопасности. На каждое представление отводится 10 мин, из них 4 мин – выступление «гладиатора» (без презентации, только устно), 6 мин – ответы на вопросы семи экспертов («львов»). В качестве экспертов приглашаются представители компаний-потребителей услуг информационной безопасности, обладающие большим авторитетом среди специалистов и имеющие опыт практического построения систем безопасности в роли заказчика.

Цель «гладиаторов» – убедить «львов» приобрести свой продукт. По окончании представления продуктов проводится открытое голосование «купил бы - не купил бы». Компания, продукт которой получит наибольшее количество голосов «купил бы», объявляется победителем. При равенстве голосов между «львами» проводится дополнительное совещание, «гладиаторам» (представителям компаний-претендентов) могут быть заданы дополнительные вопросы (на всех – до 10 мин), после чего проводится повторное голосование, но только по продуктам-победителям первого тура. Гладиатору-победителю вручается приз – гладиаторский меч.

Такой необычный формат всегда собирает полный зал. Страсти кипят. Во время одного из конкурсов, когда из-за форс-мажора львов-судей оказалась четное количество, голосовали в финале трижды, и все три раза голоса делились «три на три». Ведущий (я) не голосует. Пришлось обращаться к помощи зала, который традиционным жестом гладиаторских арен – большой палец вверх или вниз – и определил в конце концов победителя (см. фото). Так что девиз оправдывается полностью. Кому-то это очень весело, а кому-то – весьма мучительно.

В этом году на конкурсе, как обычно, семь решений, хороших, но совсем разных:

1.  Центр мониторинга и управления безопасностью предприятия Security Vision от компании «АйТи».

2.  Криптобиблиотека BHCryptography от «Газинформсервиса». 

3.  Решение SafeCopy для защиты конфиденциальных корпоративных документов при их обработке, хранении и печати компании «Инновационные технологии».

4.  DLP-система «Мониториум» компании «Трафика».

5.  Решение для защиты сетей от DoS/DDoS атак FortiDDoS компании Fortinet.

6.  Система предотвращения атак нового поколения Next Generation Intrusion Prevention System компании Hewlett Packard.

7.  Решение для удаленного защищенного доступа к ресурсам предприятия StoneGate SSL VPN от компании StoneSoft.

Среди гладиаторов – в основном дебютанты. Но есть один ветеран, весь такой в шрамах. По непроверенной информации, обещал порвать и конкурентов, и львов.

А львами у нас в этом году будут:

1.  Волков Алексей Николаевич, Начальник отдела эксплуатации средств защиты информации Управления по защите информации Генеральной дирекции ОАО «Северсталь».

2.  Кроликов Артем Евгеньевич, Руководитель управления ИБ ДИТ Штаб-квартиры ОАО «АльфаСтрахование».

3.  Маслов Олег Валерьевич, Начальник управления информационной безопасности ЗАО «ФосАгро АГ».

4.  Овчинников Алексей Геннадьевич, Начальник Управления по Информационной безопасности X5 Retail Group.

5.  Устюжанин Дмитрий Дмитриевич, Руководитель департамента информационной безопасности ОАО «ВымпелКом».

6.  Шубин Александр Сергеевич, Главный специалист Службы информационной безопасности ОАО Банк «Возрождение».

Седьмое имя пока держим в секрете, а то совсем интрига пропадет.

Так что милости просим. Хлеба не обещаем, но зрелище будет. 5 октября 2012 года с 14:30 до 16:00 в московском Экспоцентре на Красной Пресне (конференц-зале «ФОРУМ», павильон 7). Для всех посетителей выставки вход свободный.

Блоги по информационной безопасности – как они пишутся вживую

На международной выставке-конференции по информационной безопасности «Инфобез-Экспо», открывающейся в Экспоцентре на Красной Пресне 3 октября, будет много интересного – семинары, дискуссии, обсуждения, круглые столы, мастер-классы, презентации новых решений и продуктов.

В качестве эксперимента договорились с коллегами провести 4 октября блогер-панель. Что это такое? Пригласили тех, кто работает на ниве информационной безопасности, ведет свой блог и кого действительно читают. Выбрали тему, исходя из того, о чем пишут много и что много комментируют. Вы догадались – это, естественно, тема персональных данных, ну, а мероприятие будет называться «Персональные данные – год после новой редакции закона».

Получилось пять участников, имена которых читающим блоги коллег хорошо известны – Алексей Лукацкий, Алексей Волков, Евгений Царев, Александр Бондаренко, и ваш покорный слуга, эту кашу заваривший, а потому и взявший на себя обязанность секцию модерировать.

Хотелось отойти от традиционных форматов с обязательными презентациями по 20-30 минут и последующими скоротечными обсуждениями услышанного-увиденного с парой вопросов из зала. Поэтому все будет как в живом журнале. Сначала каждый из авторов воспроизведет короткий пост на выбранную им тему, связанную с персональными данными (5-7 минут, не больше), а затем  все желающие (в разумных пределах регламента) получат возможность эту тему прокомментировать, поспорить с автором и с оппонентами. В общем, все как в интернете, только вживую.

Поскольку главным объектом внимания приглашенных блогеров является обеспечение информационной безопасности при обработке данных о гражданах в условиях изменившегося закона, сценарий панели будет выглядеть примерно так.

1.     Евгений Царев порассуждает о персональных данных в цифровом мире и возможности выражения согласия на обработку данных проставлением «галочки» в соответствующей веб-форме, а также попытках аналогичным способом это согласие отозвать, например, отписаться от рассылки.

2.     Алексей Лукацкий будет отвечать на бесконечно обсуждаемый вопрос, надо ли применять сертифицированные средства защиты в информационных системах персональных данных или без этого вполне можно обойтись. Вопрос представляется особенно актуальным в свете письма Банка России по этому вопросу и публикации проектов постановлений Правительства по уровням защищенности, в тексте которых появились неожиданные нюансы, свидетельствующие о некоторых подвижках в позиции регуляторов.

3.       Александр Бондаренко выскажет свою точку зрения на то, как и для чего требуется оценивать угрозы безопасности персональным данным. И вообще, что надо делать – моделировать или исполнять?

4.     Темой Михаила Емельянникова (т.е. моего поста J) будет выполнение оператором своих обязанностей при поручении обработки персональных данных иному лицу, загадочному ЛООПДППО. Есть некоторые соображения относительно того, как реализовать требования закона о моделировании оператором угроз безопасности, определении потенциальных каналов утечки сведений и выборе средств защиты в условиях, когда у ЛООПДППО таких операторов много – десятки и сотни, которые в глаза не видели информационную систему этого самого «лица, организующего…», и вряд ли ее увидят. Ну, у всяких там ЦОДов, аутсорсеров кадрового и бухгалтерского учета и прочих лиц.

5.     А завершит обсуждение подкаст Алексея Волкова «Разъясняй и властвуй: могут ли федеральные органы исполнительной власти разъяснять законодательство и как следует к ним [этим разъяснениям] относиться». Этот же вопрос будет касаться и всего того, что скажут выступающие до Алексея коллеги, но оставим интригу, послушаем автора поста. А потом тоже обсудим.

Вот такое предполагается живенькое мероприятие. Приходите. Читайте посты, готовьте аргументы, участвуйте в обсуждении. Место встречи – Экспоцентр, конференц-зал «ФОРУМ», 7 павильон, 5 зал, время – с 14.30 до 16.00 4 октября.

Уведомление о неучастии в Съезде российских ИТ-директоров

Уважаемые коллеги!

Хотел бы вас уведомить, что я не участвую (и не планировал) в Десятом Съезде российских ИТ-директоров Russian CIO Summit – 2012 и тем более не модерирую там секцию. Мое имя организаторы используют без моего ведома и согласия, а на просьбы исправить ситуацию не реагируют. Поэтому вынужден сообщить об этом сам.

Название секции, которую я якобы должен был модерировать, -  «CIO как центр безопасности. Поддержание непрерывности и борьба с угрозами бизнесу», также придумано организаторами и не имеет ко мне никакого отношения.  Я вовсе не считаю CIO центром безопасности.

Желающим посетить мероприятие, возможно, стоило бы предварительно проверить программу. В ситуации со мной это откровенное «разводилово».

Ссылку на мероприятие не даю, поскольку:

1.     Рекламировать его не собираюсь.

2.     Сайт организаторов конференции содержит вредоносный контент:

DLP как термометр уровня информационной безопасности в бизнесе

В прошедшую пятницу бодро, при хорошем стечении народа, и в современном стиле с диванчиками на сцене, яблоками и огромными плазменными панелями прошла V международная конференция DLP-Russia. 

Не готов комментировать всю программу, тем более, что секции шли в трех параллельных потоках. Поэтому впечатления сугубо субъективные – от реакции на мою презентацию про судебный процесс, связанный с увольнением за разглашение коммерческой тайны, и от итоговой панельной дискуссии об охране объектов интеллектуальной собственности.

Как-то так получилось, что аналитики нашего агентства в последнее время глубоко погрузились в тему судебной практики, связанной с вопросами, традиционно относящимися к сфере информационной безопасности. Интерес к этим вопросам активно проявляют клиенты, к которым пришло понимание того, что дело вовсе не в эффективности разбора протоколов межсетевым экраном или эффективности эвристической компоненты системы предупреждения вторжений. Дело в деньгах – потерянных или приобретенных по результатам деятельности подразделения ИБ. Про эти проблемы я уже писал не раз и не два. И, тем не менее, обсуждение презентации про решение Достоевского райсуда города Обломова показывает, что для многих коллег, причем самого разного возраста, тема остается неожиданной, и к ее проблемам большинство из них не готовы (презентация здесь). 

Дискуссии последних лет о том, насколько специалистам в области ИБ необходима качественная юридическая подготовка, упирается в стену с другой стороны. Практика общения с заказчиками, как реальными - на проектах, так и потенциальными – на курсах и семинарах, показывает, что юрисконсульты наших предприятий и организаций к обсуждению проблем интеллектуального и информационного права не готовы. Они в большинстве своем – хорошие цивилисты-практики, умеющие отстоять свою позицию в суде при оценке выполнения договорных обязательств или взыскании дебиторки. Но вот исключительные права на результаты интеллектуальной деятельности, охраноспособность информации как секрета производства или правомерность обработки персональных данных без явно выраженного согласия субъекта вызывает легкую оторопь как минимум. С другой стороны, на курсах по проблемам применения законодательства о коммерческой тайне и персональным данным, особенно вне Москвы, специалистов по безопасности у меня практически не осталось. Сплошь юристы. Т.е. проблема явно есть, а ее решения пока не видно. То ли безопасники получат второе высшее и станут еще и правовиками, то ли юрисконсульты разберутся в принципиально новой тематике, что, как говорил товарищ Сухов, вряд-ли – уж очень она специфическая и требует знаний, в их обычной деятельности не использующихся. 

В этих обстоятельствах порадовала панельная дискуссия «Защита интеллектуальной собственности и информационных активов предприятия» и совсем не потому, что она прошла под моим модерированием ;). 

Порадовала в первую очередь составом участников, приглашенных организаторами.  Андрей Селезнёв, директор по развитию бизнеса компании Marussia Motors, которая обещает в ближайшее время взрыв российского автопрома, вечного Infant Terrible отечественной экономики. Рустэм Хайретдинов, последовательно и уверенно выступавший как топ-менеджер двух компаний-разработчиков софта, а не средств защиты информации. Владимир Звейник, заместитель директора по безопасности, начальник управления Федеральной уполномоченной организации «Универсальная электронная карта», в недавнем прошлом работавший в «Рособоронэкспорте» и спецслужбах.
Взгляд на интеллектуальную собственность и способы ее защиты с трех совершенно разных, не коррелирующих сторон, неожиданно оказался очень близким. Оказывается, режим коммерческой тайны, не останавливающий бизнес и не заливающий носители информации бетоном, бизнесом востребован. И соответствие требованиям регуляторов воспринимается положительно, даже если эти регуляторы бизнесу не помогают, но риски, в первую очередь, государственные, создают. И нормотворчество, которое часто пытаются назвать «бумажной безопасностью», нужно, если, конечно, это не попытка прикрыть 50-ю сантиметрами бумаги известное место специалиста по ИБ. И нематериальные активы, и их стоимость могут быть понятны не только бухгалтерам, но и безопасникам, если они эти активы защищают.
Безусловно, нюансы есть. Рустэм говорил о скорости бега, позволяющей оторваться от конкурентов, пока они будут анализировать выпущенные лидером миллионы строк кода. Андрей прозрачно намекал на правильный выбор юрисдикции для защиты своих исключительных прав на новый узел автомобиля или изгиб его крыла, а также о правильной мотивации персонала. Владимир был более традиционен и не сомневался в действенности режима.

Но главным было то, что люди из совершенно разных сфер деятельности, действительно заботящиеся об исключительных правах на защищаемую информацию, могут договориться. Если они говорят о бизнесе, о прибыли и об убытках, о способах их взыскания. Если говорят об организации работы персонала, который знает все, но может это все отнести в клювике к конкуренту, а может стать грудью на защиту, когда это пытается сделать его коллега.

Конференция DLP – идеальное место для таких дискуссий. Потому что DLP-система (Data Leak Prevention - система предотвращения утечки информации) – практически единственное средство информационной безопасности, решающее исключительно бизнес-проблемы. И если организаторы конференции в следующем году продолжат эту линию, вовлекая в обсуждение топ-менеджмент, владельцев бизнес-процессов, юристов, финансистов, у конференции могут появиться совершенно новые качества. И тогда она станет уникальной на рынке.

Дайджест изменений законодательства по информационной безопасности за прошедший год

В четверг провел организованный Учебным Центром «Информзащита» вебинар «Изменения законодательства в области информационной безопасности и практики его правоприменения». Тяга к знаниям границ не знает, но организатор все же был вынужден остановить запись на вебинар за 10 дней до его начала, так как количество записавшихся достигло 500 человек и превысило технические возможности.

После часового дайджеста по затрагиваемым проблемам больше 40 минут отвечал на вопросы в чате. Как ни прискорбно, основная масса по-прежнему касается законодательства о персональных данных. Прискорбно, потому что тема формального соответствия, подкрепляемая поручением гаранта довести до конца дело с изменением штрафов, направляет работу огромного количества специалистов в сторону решения проблем, далеко не всегда критичных для организаций и предприятий с точки зрения реальных потребностей бизнеса. А это значит, что на действительно серьезные проблемы (а иногда и просто на их выявление) сил, ресурсов и времени будет недостаточно.

Для тех, кто не слушал или не успел записаться, но кому интересно – выкладываю презентацию. И еще раз - это не анализ проблем и не рецепты их решения. Это дайджест, ограниченный всего лишь 60 минутами. Поэтому многого там нет, а что-то – только очень кратко упомянуто. Но для тех, у кого следить за динамикой принятия нормативно-правовых актов нет ни возможностей, ни большого желания, презентация может быть полезной – хотя бы для того, чтобы просто сделать пометки и поглубже разобраться.

Добро пожаловаться!

В недавнем посте я писал про рост понимания мошенниками значимости персональных данных для изыскания дополнительных способов изъятия денег у населения. Но и население, естественно, не дремлет. Оно тоже начинает понимать эту самую значимость, свои права и возможности, а также задумываться над такой загадочной для русской души категорией, как компенсация морального вреда.

Наиболее способные сделали из этого целый бизнес. Вот, например, неожиданно ставшая широко известной в нешансонных кругах певица. Оказывается, она давно изобрела способ ловли «на живца», публикуя у себя сведения о своей собственной частной жизни, а потом тягая желтые или похоже окрашенные издательства к ответу за незаконное распространение персональных данных. Учитывая пиетет россиян к публичным  деятелям, суды принимают близко к своему судейскому сердцу проблемы знатока порядка посещения «мичетей», входят в ее сложное положение, и регулярно выписывают материальную помощь в несколько сот тысяч рублей, немного охлаждая запросы мастерицы вокала, измеряемые миллионами.

Не такие известные, но сознательные граждане тоже осваивает технику воздействия на операторов, использующих их личные данные без достаточных на то оснований или гораздо разнообразнее, чем предусматривалось при сборе. В «Отчете о деятельности Уполномоченного органа по защите прав субъектов персональных данных за 2008 год» (первом, опубликованном по данному вопросу) сообщалось, что за отчетный период в адрес службы поступило 146 обращений граждан, и в 86 из них граждане обжаловали действия конкретных операторов персональных данных, нарушающих, по их мнению, требования ФЗ-152. Примерно такое же количество обращений граждан – порядка 150 (4% всех обращений граждан в службу) – поступило в уполномоченный орган только во 2 квартале 2011 года. А потом темп роста резко изменился. В соответствии с последним отчетом за тот же период, 3 месяца, но уже во втором квартале 2012 года, количество обращений выросло в 6,5 (!) раз и достигло 975, что составило 17% всех поступивших в службу запросов.

Заметно и проникновение новых технологий в нашу жизнь. Если в 2009 году через сеть Интернет и по электронной почте в Роскомнадзор поступило примерно 20% всех обращений, то во 2-м квартале 2012 года – уже 66%, причем 15% - непосредственно через форму на официальном сайте сети Интернет.

Очень удобно, просто и быстро.

Как истинный естествоиспытатель, проверил на себе. Охотно делюсь впечатлениями.

Исходная обстановка: заспамили. Некая компания регулярно стала присылать мыло с рекламой (адресной – «Уважаемый(ая) Емельянников Михаил!»), и после двух тинькоффых подряд я не выдержал. Троекратное обращение к спамерам единственно возможным способом – через специальную форму на сайте ничего не дало. Тинькоффы продолжались. Между прочим, кроме широко и часто обсуждаемой ст.15 ФЗ-152, спам – еще и нарушение ст.18 ФЗ «О рекламе», за которое предусмотрена, в отличие от персональных данных, вполне конкретная ответственность – часть 1 ст.14.3 КоАП, до 500 тыс.рублей штрафа (нарушения, подведомственные Федеральной антимонопольной службе - ФАС). Статья работающая – см., например, здесь.

Вот я и настрочил две жалобы – на сайте Роскомнадзора и на сайте ФАС. Форма у ФАС отличается от роскомнадзоровской – там надо обязательно еще и почтовый адрес указать (это оказалось впоследствии вполне конкретной засадой). Кстати, найти форму для заполнения обращения на сайте ФАС совсем не просто – для нуждающихся - ссылка.

На сайте Роскомнадзора в качестве аргумента к жалобе можно прикрепить файл, с этим самым спамом, например. Имейте ввиду, файл – только один, поэтому если аргументов много, заранее сформируйте архив. Я такие файлики приаттачил. На сайте ФАС прикрепление файлов не предусмотрено.

ФАС получение жалобы на электронную почту квитирует (подтверждение получения, телефон канцелярии, где можно узнать входящий номер и департамент, рассматривающий обращение). Роскомнадзор – нет, обращение падает в пропасть. Повторное, кстати, - тоже.

Дальше – ждем по закону 30 дней.

Первое и занятное наблюдение – персональные данные жалобщика надзорными органами передаются … тому, на кого жалуешься. Генеральный директор спамера отзвонился быстро, оперативно, принес извинения, рассказал о шоке, вызванном попыткой узнать, кто я такой, через поисковики. Предложил компенсацию доставленных неудобств. Спам прекратился. Инцидент можно было бы посчитать исчерпанным. Но ведь интересно, что дальше будет!

Роскомнадзор (территориальное управление по месту нахождения спамера) отозвался строго по закону. Ответ – смотрите сами.

Он показался мне занятным. Естественно, никакое пользовательское соглашение я не заключал, форму на сайте не заполнял, а форма отписки от спама в письмах – мертвая, как уши у соответствующего осла. 

Что в госорганах – хорошо, так это уставной порядок. На письме – ФИО и телефон исполнителя. Звоню. Диалог – специально для Кафки:

- Я не заполнял пользовательского соглашения.

- Но Вы об этом не указали в жалобе.

- Я понятия не имею о его наличии и на сайте был единственный раз только с целью отписаться от спама.

- Вы не указали в жалобе, что не заполняли пользовательского соглашения.

- Откуда Вы знаете, что я его заполнял?

- Нам сообщил об этом генеральный директор компании, на которую Вы жалуетесь, и не верить ему у нас нет оснований.

- Я же жалуюсь на получение спама, на который я не давал согласия!

- Согласие на это есть в заполненном Вами пользовательском соглашении.

Все. Круг замкнулся.

Отсюда выводы. Отношение к публичным офертам (пользовательским соглашениям) и галочкам на страничках сайтов в Интернете, подтверждающим согласие субъекта на обработку его персданных, у некоторых (за все говорить не могу) территориальных управлений Роскомнадзора за последние годы радикально изменилось. Похоже, появилась презумпция невиновности оператора. Во всяком случае, в данной ситуации она очевидна. Жалобы надо писать тщательнее, с полным изложением аргументов. Сам по себе спам – еще не аргумент.

И про ФАС. Здесь все веселее. Ответ через 30 дней на электронную почту я не получил. Позвонил, дали телефон исполнителя. Диалог еще веселее, приводить не буду. Короче, ответ ушел на почту неэлектронную, воспроизвести его по телефону нельзя, получить ответ по электронной почте – тоже, поскольку таковы правила.

Опытным кляузникам читать все, что указано на сайте надзорного органа, надо обязательно. Перед формой обращения на сайте ФАС среди прочих есть фраза: «4. Ответ направляется на почтовый адрес. При необходимости получения ответа на электронный адрес, просим указать это в обращении». Не указал – жди ответа через Почту России, как соловей лета. Жду. Получу – расскажу.

К чему так многобукв? Если еще кто помнит, ФЗ-152 – про обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а не про ведение реестра операторов. И наши с вами права и свободы – это и наши же проблемы. Так что если они нарушаются – добро пожаловаться! 

В старинном городе Обломове

На Достоевской стороне живет мальчишка (©Сергей «Чиж» Чиграков) Петька, а у него еще есть братик Андрюша и сестренка Татьяна. Петька в третьем классе учится, Андрюша – в первом, а Татьяна – большая, уже в восьмом. Живут они с мамой, а на соседней улице живет любимая бабушка, Елизавета Николаевна, папина мама, которая во внуках души не чает и невестку очень любит. Папу они давно не видели. Петька с Андрюшей думают, что папа деньги где-то далеко на их жизнь зарабатывает, а взрослой Татьяне мама сказала, что папа он них ушел. Навсегда.

Ушел папа и помогать детям перестал, совсем.И где он, ни мама, ни бабушка не знают. Маме посоветовали в суд заявление написать, чтобы папу помог найти и деньги с него на детей взыскать – не просто все же одной троих ребятишек содержать. Суд помог, решение о взыскании алиментов принял, а так как местонахождение папы неизвестно, передал для принудительного исполнения судебным приставам.

Тут как нельзя вовремя и разъяснение из Роскомнадзора про фото должников пришло, мол, развешивайте, где хотите, закон позволяет. Ну, приставы и постарались. А что – современно очень. И единственная в Обломове компания, занимающаяся наружной рекламой, охотно навстречу приставам пошла и плакат о розыске должника разместила.

Первыми о переменах в семье Петьке сообщили одноклассники. «Ага, Петька, теперь ясно, почему у тебя брюки всегда протертые и кроссовки такие старые. От вас папка-то давно ушел, и денег вам не платит!». Новость разнеслась по школе быстро, непосредственные первоклассники придумали речевку для Андрюши и скандировали ее на переменах. Мудрые восьмиклассники Татьяне не говорили вообще ничего. Но смотрели искоса, низко голову наклоня, шушукались и громко хихикали. Конечно, несчастные Череззаборногузадирищенские были не единственными учениками школы, в семье которых не было папы и которым не платили алименты. Но уникальность фамилии в Обломове и огромное фото папы сделали свое дело.

Елизавете Николаевне от места на скамеечке у подъезда подруги-старушки отказали. Более того, теперь она сумерках выглядывает в  в окно, и, если скамеечка свободна, совершает стремительный марш-бросок до магазина и обратно, раз в месяц – на соседнюю улицу к невестке,чтобы поделиться своей трудовой пенсией с внуками. Всем стало «хорошо». Папашу пропавшего, нехороший он человек, конечно, видели в Обломове года три назад.Теперь – каждое утро на трех щитах в центре города, один – аккурат напротив школы.

Все имена, фамилии, названия городов изменены. Любые совпадения случайны. Петьку, Андрюшу и Татьяну жалко. Их маму и бабушку тоже. Но приставы ищут. Говорят, к концу месяца еще два билборда повесят– в горсаду напротив доски почета и у фабрики, где трудится мама.

Кстати, и раньше безо всяких разъяснений в отношении должников не очень стеснялись. Нафото двухгодичной (!) давности – должник, в отношении которого судебногорешения нет. А чего ждать-то? Ясно, что антисоциальный элемент. Кстати, компания в этом городе обломове сопровождалась слоганом «За долги «повесят»».

Приставы развернулись. Они и раньше в школы любили захаживать, чтобы про единоутробного папашу поспрашивать. Год назад, 30 августа 2011 г. «Российская газета» жизнерадостно сообщила, что «находчивый розыскник обнаружил в известной социальной сети страничку сына должника, где было указано место обучения ребенка. Затем приставы разузнали в школе адрес родителей и номера их телефонов». Методичка ФССП уверенно сообщает, что «определение фактического местопребывания должника-гражданина через образовательное учреждение, в котором обучаются его несовершеннолетние дети, является одним из перспективных методов в случае, если должник не проживает по месту своей регистрации». Ага, ага.

А уж теперь – совсем хорошо стало. И вот стройные ряды любителей познакомить общественность с частной жизнью не самых благополучных российских семей дружно пополняют судебные приставы. В Хабаровске, где планируют разместить фото с прочими данными на баннерах и мониторах в местах массового скопления людей, в общественном транспорте. В Набережных Челнах, где для этого подобрали неплохое место – мост Пединститута и при доброй воле типографии (а куда она денется?) собираются выпустить листовки про должников, на Ставрополье, где собираются использовать весь спектр возможностей публикации фото, от СМИ до Интернета, и еще во многих других городах и весях.

Бог в помощь.

Вот только подумайте про семью Череззаборногузадирищенских, мучительно ищущих способ продажи квартирки в Обломове и переезда в другой город, подальше от добрых дядей-приставов и детей-одноклассников, как известно, в определенном возрасте и в стае не знающих жалости.

Я уже писал об этой проблеме и высказывал свою точку зрения. И не надо обвинять меня в сочувствии должникам и уклонистам. Я их не люблю и никоим образом не оправдываю. Но у них есть семьи, которым жить, может быть, иногда – отдельно. Любая служба допускает ошибки, и ФССП тоже. Не все решения правосудны.

А пока из текста, цитируемого в Интернете, можно построить следующую цепочку:

· обработка биометрии (фото) (часть 2 ст.11 ФЗ-152) может осуществляться без согласия субъекта персональных данных в связи с исполнением судебных актов;

· обработка персональных данных в соответствии с п.3 ст.3 того же закона включает распространение - раскрытие персональных данных неопределенному кругу лиц;

· судебные приставы могут распространять без ограничений (публиковать) фото должников;

· в соответствии с п.5 части 1 ст.6 ФЗ-152 обработка персональных данных без дополнительного согласия необходима для исполнения договора, стороной которого является субъект;

· обработка включает распространение;

· сторона, с которой субъект заключил договор, вправе распространять его данные без ограничений;

· и так далее, включая распространение особых категорий персональных данных во всех допустимых случаях обработки.

То есть, если можно обрабатывать – значит, можно и распространять. Между тем, для для распространения персональных данных закон предусматривает всего 3 допустимых случая:

· доступ к данным предоставлен субъектом или по его просьбе;

· данные подлежат опубликованию в соответствии с федеральным законом;

· данные подлежат обязательному раскрытию в соответствии с федеральным законом.

Может быть, все-таки опубликовать открыто это самое разъяснение про фото должников, чтобы все понимали о чем речь. Мы так далеко можем пойти. Но почему-то не хочется.

… о которой так долго говорили, свершилась?

Бесконечные дискуссии о самых разнообразных аспектах обработки персональных данных, ведущиеся последние пять лет везде, где только можно их вести, дали, наконец, реальные плоды. Даже самый последний двоечник и полный лузер теперь знают, что персональные данные – один из самых простых способов отъема денег у государства и его населения. То, о чем так долго говорили, свершилось?

Еще в начале лета тревогу забили специалисты аналитического подразделения нашего агентства, мониторящие публикации по вопросам информационной безопасности. Количество противоправных действий и преступлений, связанных с использованием паспортных данных, начало стремительно расти. Люди научились использовать обычные сведения из документов, удостоверяющих личность, для быстрого обогащения.

И вот уже способный житель Самары, приобретя на местной горбушке компакт-диск со сведениями о горожанах, оформил 78 ничего не подозревающих граждан к себе на работу, заключил с Центром занятости населения договор об участии в программе по организации временного трудоустройства безработных, предусматривающий их привлечение к общественным работам, и получил за это из федерального и областного бюджетов 2 млн. рублей. По похожей схеме действовали начальник отдела и ведущий инспектор Центра занятости населения ЮЗАО Москвы. Они подыскивали регистрационные и уставные документы фирм, которые не вели хозяйственную деятельность, предоставляли от их имени в Центр занятости заявки на участие в программе по организации временного трудоустройства безработных, а также паспортные данные лиц, желающих найти работу. Дальше – понятно: договор между Центром и предприятием, перечисление денег из центра и т.д. Пикантная подробность – один из участников группы, предприниматель, ранее судимый за мошенничество, обеспечивал получение в различных банках столицы банковских карт на «трудоустроенных» граждан, на которые казначейство Москвы перечисляло деньги. И никто в банках и казначействе ничего не подозревал. Такая вот слепая вера в честность.

Научились мошенники тянуть деньги из Российского союза автостраховщиков (РСА), предъявляя поддельные документы об уступке прав требования автовладельцами, пострадавшими в ДТП, которые были застрахованы в страховых компаниях с отозванными (и не только) лицензиями. И там речь идет о миллионах рублей. А вот страховая группа «Адмирал», лишенная лицензии на страхование автомобилей, «забыла» вернуть в РСА 21 тысячу чистых бланков полисов ОСАГО. Между тем, РСА уже выплатил компенсации по обязательствам «Адмирала» на сумму 27,9 миллиона рублей при общем объеме обязательств до 153 миллионов. По информации «Прайм-ТАСС», теперь мошенники предлагают потерпевшим выкупить у них право на получение выплаты от «Адмирала», а затем используют персональные данные страхователей и подложные документы для взыскания денег с РСА.

В Смоленской области пачками выдавали автокредиты на владельцев утраченных и похищенных паспортов. Украли у трех не самых последних российских банков 130 миллионов рублей знающие люди, среди которых советник по защите бизнеса ООО «РусфинансБанка», через который эти денежки и выводились. Похожим способом орудовали две дамы в Южноуральске. Одна из мошенниц, работавшая в салоне сотовой связи, оформляла потребительские кредиты по украденным паспортам, а другая на полученные кредитные средства приобретала телефоны, ноутбуки и сбывала их. По той же схеме действовал и кредитный эксперт одного из банков Якутска, также оформлявший фиктивные кредиты, используя паспортные данные клиентов.

Председатель правления Республиканской общественной организации по защите прав заемщиков Башкирии, получив (видимо, ввиду слабой осведомленности персонала в вопросах безопасности) сведения о 40 тысячах клиентов одного из банков г.Уфы, под угрозой их распространения и причинения ущерба деловой репутации банка потребовал от банка оплаты его знаний, умножающих скорбь – всего-то 10 млн. рублей, и оформления автокредитов на приобретение двух автомобилей «Мицубиси» общей стоимостью 4 400 000 рублей с условием погашения их банком. Ну, это по-нашему: кто что охраняет, тот то и имеет. Охранял права заемщиков, так что же, им, этим правам, а заодно и сведениям о владельцах, зря пропадать? Монетизировать их, монетизировать…

Это примеры всего трех летних месяцев. Список можно продолжать долго, но настораживает то, что количество случаев мошенничества идет по нарастающей. Все они прямо связаны с использованием паспортных данных граждан. Между тем их копирование паспортов приобрело в стране масштаб стихийного бедствия. Паспорта без всякого согласия и обоснования кладутся на ксероксы в гостиницах при заселении и в кассах при покупке билетов, при выписке пропусков в каждый захудалый офисный центр, который еще вчера был хлебопекарней, а сегодня охраняется как режимный объект, копируются они и при каждой операции в банке. Я тут вежливо поинтересовался, почему при закрытии депозитного счета, открытии нового и переноса на него денег без моего физического контакта с ними с паспорта пять раз сняли копию. Грозно сославшись на инструкцию Банка России, ознакомить меня с ней отказались.

Между тем, за все время действия ФЗ-152 «О персональных данных» (а это пять с половиной лет!) в России не вышло ни одного документа, хоть как-то регламентирующего порядок копирования паспортов, хранения и использования копий. И каждый раз гражданину приходится выбирать – поселиться в забронированную гостиницу или идти с чемоданом искать более лояльную, забрать деньги из банка в обмен на копию паспорта или оставить их банку навсегда. Казалось бы, вот оно поле для приложения усилий уполномоченного органа, защищающего права субъектов. Но пока все ограничивается вялым штрафованием банков за наличие на копии паспорта фото как биометрических данных, на что отсутствует письменное согласие владельца. А сами-то копии зачем сделаны и хранятся? И сколько их у банка? И как они учтены? Кем? Где?

Вопросы без ответов…

Можно, конечно, жаловаться. Но об том – в следующий раз.

Изменения законодательства в области информационной безопасности и практики его правоприменения

Обзор основных изменений российского законодательства за последний год и практики его правоприменения судами, прокуратурой и надзорными органами – основная цель вебинара, который пройдет 6 сентября 2012 года.

Вебинар ориентирован на специалистов, которые хотят получить общее представление обо всех произошедших в последнее время законодательных изменениях, а также понимание их влияния на бизнес организаций, в которых они работают.

Ведущий вебинара – М.Ю. Емельянников, Управляющий партнер Консалтингового агентства «Емельянников, Попова и партнеры», автор более 200 публикаций в СМИ, по проблемам информационной безопасности, эксперт Консультационного совета Ассоциации российских банков по проблемам законодательства о персональных данных. Автор и тренер первых в России учебных курсов по вопросам защиты коммерческой тайны и персональных данных.

В программе вебинара:

• Наиболее значимые изменения российского законодательства в области информационной безопасности за последний год. Причины, направленность, возможные последствия изменений.

• Законодательство о персональных данных. Федеральный закон ФЗ-261 – новая редакция закона «О персональных данных», а не перечень поправок. Изменение базовых подходов к обработке персональных данных и правовых оснований для нее. Расширение круга персональных данных, доступных для неограниченного круга лиц и обрабатываемых без согласия субъектов (обязательное медицинское страхование, образование, исполнительное производство и др.).

• Есть ли в российских законах понятие конфиденциальной информации и что это такое?

• Ограничение доступа к информации о деятельности органов государственной власти и местного самоуправления. Его правомерность в условиях отсутствия закона о служебной тайне.

• Информационная безопасность при предоставлении государственных и муниципальных услуг в электронном виде. Обработка персональных данных при оказании государственных услуг.

• Информационная безопасность национальной платежной системы. Требования, регуляторы, ответственность.

• Лицензирование деятельности в области информационной безопасности – новый закон, новые положения.

• Обязательная сертификация средств защиты информации как форма оценки соответствия.

• Можно ли легально использовать зарубежные криптографические средства на территории России.

• Парадоксы правосудия – коммерческая тайна и персональные данные в российских судах. Закономерности и уникальные решения.

• Уступка прав требования и агентские схемы взыскания задолженности с физических лиц через призму персональных данных.

• Контроль, надзор и проверки. К чему готовиться, кого ждать.

Организатор вебинара - Учебный центр «Информзащита» обращает внимание заинтересованных специалистов, что системно, основательно и в прикладном аспекте вопросы, анонсированные в программе вебинара, рассматриваются в рамках различных курсов центра, в первую очередь – по тематике коммерческой тайны и персональных данных.

Вебинар состоится 6 сентября 2012 года, начало – 11:00. Продолжительность вебинара – 1,5 часа. Участие в вебинаре бесплатное, при условии предварительной регистрации на сайте Учебного центра «Информзащита».

Не по дороге с облаками

В течение последней недели как-то слишком часто попадаются статьи и заметки про облачные вычисления. Все, как на подбор – негативные, зато от людей и компаний, статус которых требует доверия как минимум. То Стив Возняк озаботится, то Гартнер холодненькой водичкой плесканет, а Наташа Храмцовская про это расскажет.

Периодические всплески интереса к любой теме – дело обычное. Но, почитав последние материалы, поймал себя на стойком déjà vu. Все это писалось и год, и два назад. Одними и теми же словами, применительно к одним и тем же ситуациям. С одной стороны, продавцы облачных сервисов убеждают нас, что корпоративные заказчики уже просто-таки рвутся в облака, с другой – за все эти годы нет ни одного внятного, обоснованного и убедительного ответа на крайне простые, очевидные вопросы:

1. Что происходит с данными, загруженными в облако, после выполнения действий, назначенных заказчиком (обработки, проведения вычислений, нажатии клавиши Delete на компе пользователя, работающего с облачной инфраструктурой)?

2. Какими конкретно механизмами обеспечивается разграничение доступа к информации в облаке между пользователями всех этих SaaS/IaaS/PaaS и вообще XaaS, кто и как подтвердил их надежность?

3. Что там с виртуальной архитектурой внутри облака, атаками на гипервизор, супер-пользователями и почему бы им не продать нашу информацию конкурентам, которые получают все по запросу здесь же?

4. Кто и как управляет ключами шифрования при закрытии канала передачи данных в облако? Почему это не АНБ/ЦРУ/Моссад/ФСБ/BND/MI5-MI6 (список продолжите сами)?

Перечень вопросов, сами понимаете, не исчерпывающий. И касается он только конфиденциальности. Но, как только вы поднимаете глаза вверх и смотрите на белогривых лошадок, у любого ИТ- или ИБ- директора в здравом уме и твердой памяти появляются нехорошие мысли про доступность и целостность. Перечень вопросов стремительно растет:

5. Кто конкретно и как отвечает за неизменность ваших данных в облаке? Чем это подтверждается?

6. Что вы будете делать, когда у вас не окажется доступа к интернету?

7. Что вы будет делать, когда провайдер откажет вам в услуге?

8. Что вы будете делать, когда ваши данные бесследно исчезнут?

9. Что вы будете делать, когда решите «найти себе другого провайдера, честного» и мигрировать к нему? Как вы перенесете свои данные и перенесете ли вообще?

Все эти годы вдвижения новых сервисов в умы и деньги заказчиков вместо ответов мы получаем то, что классик мировой революции называл эклектической похлебкой – общие слова про колоссальный опыт и ответственность разработчиков, огромное количество специфических облачных решений безопасности, описать которые «в данном интервью (статье, выступлении) не представляется возможным из-за ограничений во времени» (при том, что 95% их – маркетинговая лапша на уши), про неизбежность научно-технического прогресса и светлое будущее аутсорсинга всего, не относящегося к основной деятельности – в частности.

Я сам на всех своих курсах, переходя к разделу аутсорсинга безопасности, говорю о том, что история развития человечества – это история развития аутсорсинга, от первобытно-общинной семьи с забитым мамонтом как основным средством существования через коврики под автомобилями 20 века в воскресные погожие дни к «Check engine. Code 235709» сегодня. Все так.

Но отсутствие внятных ответов на все выше поставленные вопросы заставило меня вернуться к собственному посту и презентации годичной давности.

Я не нашел не только 33, но и 3 отличия от того, что происходит сегодня. Для информационных технологий и информационной безопасности с точки зрения нейтрализации возникающих угроз год – период огромный. И если за это время на технологические вызовы нет соответствующей реакции, зато заметен рост агрессивности маркетинга, это неспроста. И у меня, как безопасника, появился новый вопрос. Провайдеры облачных услуг, а как и где заказчик может познакомиться с логами событий безопасности, связанными с его конкретно данными? Они вообще-то есть? И как там с таргетированными атаками, всякими новыми Stuxnet’ами, Flame’мами, Gauss’ами? Ведь красть с колхозного поля всегда легче, чем с личной делянки - оно большое, с чужой картошкой и спать хочется в конце концов.

Боюсь, что до получения не просто ответов, а обязательств, закрепленных в договорах с провайдерами, публичные облака останутся областью применения для почтовых сервисов и личных файлов, а про международные корпорации, перенесшие в них свою информационную инфраструктуру (названия, по понятным причинам, не раскрываются), нам придется верить продавцам воздуха облаков на слово. Публичных, потому что чем отличается частное облако от обычного коммерческого ЦОДа, я внятных объяснений за все это время, ни разу так и не услышал. Ну, кроме системы расчетов за представленные услуги, конечно.

Опять про фото, биометрию и исполнительное производство

На сайте Службы судебных приставов вчера появилась интересная публикация.

В ней сообщается, что Роскомнадзор в ответ на обращение директора Федеральной службы судебных приставов А.О.Парфенчикова дал заключение, что судебные приставы имеют право распространять фотографии должников. Попутно там же сообщается, что фотографии относятся к  биометрическим персональным данным, поскольку характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

На сайте Роскомнадзора и портале «Персональные данные» найти следов этого ответа судебным приставам не удалось.

Между тем сообщение весьма знаковое. В нем содержится целый ряд серьезных выводов, применение которых на практике может иметь значительные последствия.

Первое. Фотография – не важно какая - цифровая или аналоговая на бумаге – это биометрические персональные данные. Я, собственно, давно в этом был уверен при одной оговорке – это биометрия, оборот которой регулируется ФЗ-152 «О персональных данных» только в случаях, когда фото используется оператором для установления личности субъекта. Поэтому паспорт (не биометрический в том числе), пропуск с фотографией и листовка «Разыскивается» - суть носители биометрических персональных данных.

Второе. ГОСТ Р ИСО\МЭК 19794-5-2006, на который так любят ссылаться некоторые оппоненты, проводя границу между фото-биометрией и фото-не биометрией, абсолютно не при чем. Можно по фото опознать человека (установить личность) и оно используется именно для этого – значит, биометрические персданные.

Третье. Фото, подпадающее под это определение, может быть абсолютно любым - из документа, личного дела, бытовое, в том числе выложенное в социальной сети самим субъектом. Про использование социальных сетей для поиска должников приставами уже написано-переписано много чего. Какое найдут приставы фото – то и будут использовать для размещения там, где посчитают нужным. И это мне также представляется совершенно очевидным.

И, наконец, самое важное – четвертое. И с ним далеко не так просто, как с первыми тремя выводами. Приставы ссылаются на часть 2 ст.11 ФЗ-152, допускающую обработку биометрических персональных данных без согласия субъекта в связи с исполнением судебных актов. Вопросов нет – приставам согласия должника на использование (вид обработки по закону) его фото, конечно,  получатьне надо. Но, как известно, в ФЗ-152 содержится масса норм, допускающих сколь угодно широкое их толкование. К способам обработки персданных относится, в том числе, и их распространение – действия, направленные на раскрытие персональных данных неопределенному кругу лиц. Т.е. формально все вроде бы пока правильно.

Но, с другой стороны, опубликование персональных данных в том смысле, как оно видится в сообщении Службы судебных приставов – это включение биометрических персональных данных в общедоступные источники, типа доски почета за территорией завода, но только наоборот. А на это надо уже письменное согласие субъекта, которое может быть в любое время отозвано. Исключение из этого правила – в п.11 части 1 ст.6: обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с Федеральным законом. А вот тут - загвоздка. С 1 января этого года вступили в силу изменения в Федеральный закон от 02.10.2007 N 229-ФЗ «Об исполнительном производстве», предусматривающие создание и ведение Федеральной службой судебных приставов, в том числе в электронном виде, банка данных, содержащего сведения, необходимые для осуществления задач по принудительному исполнению судебных актов, актов других органов и должностных лиц.

Проблема же в том, что закон (статья 6.1) определяет исчерпывающий, закрытый перечень сведений этой самой базы данных, которые являются общедоступными. Ну, и вы, конечно, уже догадались – фото в этом перечне нет. Совсем.

Не в первый раз органы исполнительной власти расширили сферу применения федерального закона на основании своего мнения, писем и заключений. Но что-то подсказывает, в этот раз просто не получится.