Постановление Правительства № 1119 по полочкам

Руки, давно тянувшиеся к клавиатуре по поводу нового шедевра нормативного регулирования, уже отбиты до костей. Больше сдерживать себя и терпеть не удается. Придется написать. Тем более, что сегодня Постановление от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", которое отменяет Постановление от 17.11.2007  № 781 вступает в силу. Семь дней со дня опубликования истекают.

Если честно, реакция коллег из профессионального сообщества на новое постановление, фактически определяющего систему построения технической безопасности обработки персональных данных в информационных системах, меня не просто удивила, а, скорее, озадачила. Части, и немалой, оно понравилось, поскольку не содержит, по их мнению, ничего принципиально нового, и гайки дальше не закручивает, а количество требований по сравнению с ПП-781 даже уменьшается. Другая часть коллег документ ругает, но очень обще, в основном за отсутствие конкретики.

У меня о требованиях сложилось несколько иное мнение, я кратко высказывал его на сегодняшнем вебинаре, проводившемся нашим агентством совместно с компанией «Код Безопасности», и количество вопросов, поступивших по этому поводу, окончательно подтолкнуло меня к написанию этого поста.

Для того, чтобы систематизировать свое видение, я придумал несколько полочек, по которым свою оценку документа и разложу. Извините, букв будет много. Очень. Слова тщательно подбирал, так что категория читающих может быть и 0+.

Полочка первая. Соответствие закону. Выпуск в свет ПП-1119 является прямым требованием пунктов 1 и 2 части 3 ст.19 новой редакции 152-ФЗ «О персональных данных». Именно это позволяет мне очень резко оценить состояние дел на этой полочке. Постановление Правительства закону не соответствует. Закон предписывал определить уровни защищенности и требования к ним в зависимости от пяти факторов:

·         возможного вреда субъекту персональных данных,

·         объема обрабатываемых персональных данных,

·         содержания обрабатываемых персональных данных,

·         вида деятельности, при осуществлении которого обрабатываются персональные данные,

·         актуальности угроз безопасности персональных данных.

Виды деятельности, и, что особенно важно, вред субъекту в принятом документе вообще отсутствуют как квалифицирующие признаки. В п.7 Требований оператору  «совсем не гуманно», по другому сказать не могу, предлагается самостоятельно определить тип угроз безопасности персональных данных, актуальных для информационной системы, с учетом оценки возможного вреда, руководствуясь несуществующими пока документами ФСБ и ФСТЭК. Т.е. зав.детсадом или начальник отдела автоматизации трубопрокатного завода (поскольку заниматься подобными проблемами в подобных организациях больше просто некому) будут оценивать вред от разглашения данных персонала, воспитуемых, посетителей и их родственников. При полном отсутствии в стране методических наработок по этой проблеме. Тот, кто хоть немного сталкивался с подобными вопросами, знает, что проблема определения размера вреда при нарушении гражданских прав является одной из самых сложных в юриспруденции и судопроизводстве. Но, видимо, вспомнив классический постулат о возможностях каждой кухарки, авторы решили, что решить проблему можно краудсорсингом. Операторов-то по оценке Роскомнадзора – порядка семи миллионов. Глядишь, чего и наизобретают. Классический пример перекладывания проблемы с одной головы на другую, сами знаете, каких.

С видами деятельности тоже засада. Принимая во внимание, что новая редакция закона не оставляет места для отраслевых стандартов работы с персональными данными, учитывать эти самые виды придется одним только способом – придумывая для них дополнительные к изобретенным ФСБ и ФСТЭК угрозы безопасности, что, собственно, и прописано в частях 5 и 6 той же статьи 19 закона. Точка. Только определить новые угрозы, а не предусмотреть какие-либо послабления, подобные тем, что в свое время согласовал со ФСТЭКом Минздрав в своих методических документах.

Полочка вторая. Методология. Полочка самая …плохо повешенная. Так как в методологии – самые главные, ключевые проблемы документа. Объявляя главными угрозами, неминуемо ведущими к установлению высших уровней защищенности (см. таблицу 1), недекларированные (недокументированные) возможности в системном и прикладном программном обеспечении, Требования не предлагают вообще никаких методов и способов их нейтрализации. Ибо такими способами может быть только проверка этого самого ПО на отсутствие закладок и прочих вредных привычек. А этого от операторов, во всяком случае в ПП-1119 никто не требует.

Таблица 1

Тип ИСПДн	Сотрудники оператора	Количество субъектов	Тип актуальных угроз
			1	2	3
ИСПДн-С	Нет	> 100 000	УЗ-1	УЗ-1	УЗ-2
	Нет	< 100 000	УЗ-1	УЗ-2	УЗ-3
	Да
ИСПДн-Б			УЗ-1	УЗ-2	УЗ-3
ИСПДн-И	Нет	> 100 000	УЗ-1	УЗ-2	УЗ-3
	Нет	< 100 000	УЗ-1	УЗ-3	УЗ-4
	Да
ИСПДн-О	Нет	> 100 000	УЗ-2	УЗ-2	УЗ-4
	Нет	< 100 000	УЗ-2	УЗ-3	УЗ-4
	Да

Лечиться от логических бомб, бэк-доров и иной нечисти предлагают старыми проверенными методами - клистиром с патефонными иголками и гипсованием непереломанных конечностей. См. таблицу 2.

Таблица 2

Требования	Уровни защищенности
	1	2	3	4
Режим обеспечения безопасности помещений, где обрабатываются персональные данных	+	+	+	+
Сохранность носителей персональных данные	+	+	+	+
Перечень лиц, допущенных к персональным данным	+	+	+	+
СЗИ, прошедшие процедуру оценки соответствия	+	+	+	+
Должностное лицо, ответственное за обеспечение безопасности персональных данных в ИСПДн	+	+	+	-
Ограничение доступа к содержанию электронного журнала сообщений	+	+	-	-
Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным	+	-	-	-
Структурное подразделение, ответственное за обеспечение безопасности персональных данных	+	-	-	-

Каким образом использование сертифицированных межсетевых экранов и назначение ответственного подразделения (или ответственного лица) может помочь предотвратить воздействие операционной системы на обрабатываемые данные знают, видимо, только авторы.

Полочка третья. Терминология. А это – самая загадочная часть документа. Откуда появились «сотрудники оператора» и почему они не работники, правовой статус которых четко описан Трудовым кодексом – вопрос простой и очевидный. А вот что такое «электронный журнал сообщений» (п.15) и чем он отличается от «электронного журнала безопасности» (п.16), если отличается вообще – тайна есть великая. Я догадываюсь, что речь идет о логах. Логах чего? ОС? БД? Приклада? СЗИ? Всего вместе или чего-то в отдельности? Вопросы без ответов.

Постановление вводит отсутствующее в законе понятие информационной системы, обрабатывающей общедоступные персональные данные, и считает таковыми полученные только из общедоступных источников персональных данных, созданных в соответствии со ст.8 152-ФЗ.

А если они получены по-другому, например, если это сведения, подлежащие опубликованию и обязательному раскрытию, как сведения из ЕГРЮЛ и ЕГРИП, являющиеся общедоступными в соответствии с Федеральным законом о государственной регистрации юрлиц и индивидуальных предпринимателей. Или сведения об аффилированных лицах эмитента ценных бумаг. Или персональные данные кандидатов в депутаты, подлежащие опубликованию. Как быть с ними? Опять вопрос, не имеющий ответа.

Наконец, оценка соответствия. Термин, не имеющий пояснений применительно к СЗИ ни в одном акте, кроме закрытого Постановления № 330, продолжает кочевать по нормативной базе. Но даже если это Постановление оператор видел, понять, каким образом осуществляется оценка соответствия в ходе государственного контроля и надзора, ему не дано. И оценить последствия ожидания прихода контролера и его поведения при виде несертифицированных средств тоже. Ну, и не будем забывать, что в новой редакции закона нормативные правовые акты, касающиеся обработки персональных данных, подлежат официальному опубликованию.

Полочка четвертая. Применимость. Постановление может заработать в полном объеме только после принятия соответствующих актов ФСБ и ФСТЭК, предусмотренных ч.4 ст.19 152-ФЗ, а также федеральными органами исполнительной власти, осуществляющими функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органов государственной власти субъектов Российской Федерации, Банка России, органов государственных внебюджетных фондов, иных государственных органов в части определения актуальных угроз безопасности персональных данных (ч.5 ст.19 152-ФЗ, п.2 Требований), которые отсутствуют и неизвестно когда будут приняты. Оператору в этих условиях выполнить установленные требования практически невозможно. Возвращаюсь к заведующей детсадом и начальнику отдела автоматизации трубопрокатного завода. Кто объяснит первой, что такое «недекларированные возможности системного программного обеспечения» и по каким признакам она будет оценивать актуальность этой угрозы? Что может заставить второго эти угрозы признать для своего завода актуальными и взвалить на себя дополнительные проблемы? Как они будут оценивать вред, о котором писалось при разборе первой полочки? Подождем документов ФСБ и ФСТЭК. Что-то мне подсказывает, что просто так отказаться от нейтрализации недекларированных возможностей не удастся. Банки и телеком в конце концов с этим разберутся. А что делать остальным, не имеющим профильных специалистов и лицензий ФСБ/ФСТЭК – школам и вузам, больницам и поликлиникам, ЗАГСам и центрам занятости населения, и пр., и пр.? Ничего, кроме оторопи, подобный документ у них вызвать не может.

Резюме писать не буду. И так все ясно.

Безопасность в Силиконовой долине

Страсть наших всевозможных охранных служб, бюро пропусков и даже обычных рецепшн к фиксации паспортных данных при посещении вполне безобидных офисных центров, далеких от размещения режимных предприятий и организаций, раздражает давно и основательно. На мой взгляд, у владельцев таких зданий отсутствуют какие-либо основания препятствовать посещению арендуемых офисов даже теми, у кого никаких документов нет, особенно если их встречает представитель принимающей организации. Много раз говорил и писал об этом. Но ситуация лучше не становится.

Обычной практикой, в Москве, во всяком случае, становится сканирование, копирование паспорта даже несколько раз за время посещения – на входе в здание, на этаж, а потом и в офис конкретной компании. Зачем это делается, и что потом происходит с персональными данными, никто объяснить не может. Субъектами оперативно-розыскной деятельности частные охранные фирмы и уж тем более секретари на рецепшн не являются, закона, дающего право такой фиксации, у нас в стране нет. Ну, да и бог с ними.

Я о другом.

Во время недавнего посещения компаний в Силиконовой долине я неожиданно получил косвенное подтверждение своих подозрений о наличии явно излишних требований безопасности, предъявляемых у нас в стране при организации допуска в коммерческие организации.

Итак, типовой вариант прохода в здание инновационной, передовой, современной компании где-нибудь в Купертино или Маунтин-Вью. Скрывать им, безусловно, есть что (эти самые пресловутые охраноспособные результаты интеллектуальной деятельности) – иначе бы они не стали знаменитыми «компаниями из Силиконовой долины». Но, тем не менее…

Вас встречает представитель компании, который организует встречу или переговоры. Вместе с ним подходите к рецепшн и от руки вписываете свои ФИО и название компании в Соглашение о неразглашении (NDA, Non disclosure agreement), бланки которого тут же лежат стопочкой. Девушка за стойкой вас фотографирует, вносит в компьютер указанные вами имя и фамилию и печатает бейдж гостя. Все. Охранников на горизонте не видно. На недоуменный вопрос: «А что, с ID (паспортом) сверять данные не будут?» следует не менее недоуменный ответ: «Вас же сопровождает представитель компании, зачем же еще нужен паспорт?». Подчеркиваю, мы уже и соглашение о конфиденциальности заключили. По умолчанию, даже если он об этом не просит, посетителю выдают логин и пароль для использования Wi-Fi на территории компании.

Далее – передвижение по офису с сопровождающим и без видимых ограничений, хороший бесплатный обед с трудовым коллективом. Кстати, в обеденную зону, как правило, можно зайти, минуя рецепшн. Работники на видных местах бейджей на видных местах не носят, бесплатный обед, как показалось, может получить любой желающий (хозяева такую возможность дружно подтверждали, но не видели в этом проблемы – так питание организовано практически у всех, посторонних в этих городах-мегаофисах практически нет). Встречи, переговоры, покидание здания без каких-отметок на выходе и сдачи бейджа. Кстати, США покидаются без паспортного контроля на вылете.

Людей в черном вокруг не видно. Никто не смотрит искоса, низко голову наклоня. Никто не интересуется документами. И что-то мне подсказывает, никто не страдает от несанкционированных действий посетителей, попыток кражи интеллектуальной собственности (в данном случае со стороны сопровождаемых гостей) и нарушений пропускного режима.

А в целом работать в Долине, похоже, здорово. Чистый воздух, широкие зеленые улицы, огромные парковки у каждого здания.  Бесплатные велосипеды почти у каждого офиса, раскрашенные в выбранные компаниями цвета, видимо, чтобы не перепутать по окончании рабочего дня. Вышел, сел на любой стоящий у здания, поехал, оставил у другого здания. 

В этом глубокий смысл – только у Google  в Маунтин-Вью зданий порядка сотни. И народ между ними в рабочее время с удовольствием передвигается на велосипедах. Дорогие машины на стоянках, раскованные хипстеры всех национальностей и цветов кожи. И все улыбаются. Они не думают о безопасности. Они думают о работе.

Последние изменения законодательства о персональных данных и Постановление № 1119

14 ноября в 11:00 совместно с компанией «Код Безопасности» наше агентство проводит уже ставший традиционным вебинар  «Изменения в законодательстве по защите персональных данных: как реализовать новые требования?».

В этот раз он будет особым – впервые мы рассмотрим требования к защите персональных данных при их обработке в информационных системах, установленные только что принятым Постановлением Правительства РФ от 01.11.2012 № 1119, попытаемся разобраться, чем они отличаются от тех, что содержались в утратившем силу Постановлении 2007 г. № 781, что ждать дальше и что надо делать уже сегодня. Участие – только после предварительной регистрации.

Для тех специалистов, которые заинтересованы в систематизированной и основательной подготовке по проблеме защиты персональных данных, в Учебном центре «Информзащита» 12-13 ноября проводиться будет мой авторский курс, в котором Постановление № 1119 будет рассмотрено подробно.

Традиционная битва на арене информационной безопасности

5 октября международная выставка-конференция «INFOBEZ-EXPO» традиционно завершится битвой львов и гладиаторов под девизом "Это весело, это быстро, это мучительно". С удовольствием провожу это конкурс (шоу?) уже который раз. Такого накала страстей, таких эмоций и такой живой реакции присутствующих нет, наверное, ни на одном мероприятии по информационной безопасности.

Для тех, кто не в курсе, очень коротко «правила боя».

Семь «гладиаторов» – представителей 7 компаний-разработчиков и поставщиков средств защиты информации представляют свои наиболее интересные, с их точки зрения, решения для рынка информационной безопасности. На каждое представление отводится 10 мин, из них 4 мин – выступление «гладиатора» (без презентации, только устно), 6 мин – ответы на вопросы семи экспертов («львов»). В качестве экспертов приглашаются представители компаний-потребителей услуг информационной безопасности, обладающие большим авторитетом среди специалистов и имеющие опыт практического построения систем безопасности в роли заказчика.

Цель «гладиаторов» – убедить «львов» приобрести свой продукт. По окончании представления продуктов проводится открытое голосование «купил бы - не купил бы». Компания, продукт которой получит наибольшее количество голосов «купил бы», объявляется победителем. При равенстве голосов между «львами» проводится дополнительное совещание, «гладиаторам» (представителям компаний-претендентов) могут быть заданы дополнительные вопросы (на всех – до 10 мин), после чего проводится повторное голосование, но только по продуктам-победителям первого тура. Гладиатору-победителю вручается приз – гладиаторский меч.

Такой необычный формат всегда собирает полный зал. Страсти кипят. Во время одного из конкурсов, когда из-за форс-мажора львов-судей оказалась четное количество, голосовали в финале трижды, и все три раза голоса делились «три на три». Ведущий (я) не голосует. Пришлось обращаться к помощи зала, который традиционным жестом гладиаторских арен – большой палец вверх или вниз – и определил в конце концов победителя (см. фото). Так что девиз оправдывается полностью. Кому-то это очень весело, а кому-то – весьма мучительно.

В этом году на конкурсе, как обычно, семь решений, хороших, но совсем разных:

1.  Центр мониторинга и управления безопасностью предприятия Security Vision от компании «АйТи».

2.  Криптобиблиотека BHCryptography от «Газинформсервиса». 

3.  Решение SafeCopy для защиты конфиденциальных корпоративных документов при их обработке, хранении и печати компании «Инновационные технологии».

4.  DLP-система «Мониториум» компании «Трафика».

5.  Решение для защиты сетей от DoS/DDoS атак FortiDDoS компании Fortinet.

6.  Система предотвращения атак нового поколения Next Generation Intrusion Prevention System компании Hewlett Packard.

7.  Решение для удаленного защищенного доступа к ресурсам предприятия StoneGate SSL VPN от компании StoneSoft.

Среди гладиаторов – в основном дебютанты. Но есть один ветеран, весь такой в шрамах. По непроверенной информации, обещал порвать и конкурентов, и львов.

А львами у нас в этом году будут:

1.  Волков Алексей Николаевич, Начальник отдела эксплуатации средств защиты информации Управления по защите информации Генеральной дирекции ОАО «Северсталь».

2.  Кроликов Артем Евгеньевич, Руководитель управления ИБ ДИТ Штаб-квартиры ОАО «АльфаСтрахование».

3.  Маслов Олег Валерьевич, Начальник управления информационной безопасности ЗАО «ФосАгро АГ».

4.  Овчинников Алексей Геннадьевич, Начальник Управления по Информационной безопасности X5 Retail Group.

5.  Устюжанин Дмитрий Дмитриевич, Руководитель департамента информационной безопасности ОАО «ВымпелКом».

6.  Шубин Александр Сергеевич, Главный специалист Службы информационной безопасности ОАО Банк «Возрождение».

Седьмое имя пока держим в секрете, а то совсем интрига пропадет.

Так что милости просим. Хлеба не обещаем, но зрелище будет. 5 октября 2012 года с 14:30 до 16:00 в московском Экспоцентре на Красной Пресне (конференц-зале «ФОРУМ», павильон 7). Для всех посетителей выставки вход свободный.

Блоги по информационной безопасности – как они пишутся вживую

На международной выставке-конференции по информационной безопасности «Инфобез-Экспо», открывающейся в Экспоцентре на Красной Пресне 3 октября, будет много интересного – семинары, дискуссии, обсуждения, круглые столы, мастер-классы, презентации новых решений и продуктов.

В качестве эксперимента договорились с коллегами провести 4 октября блогер-панель. Что это такое? Пригласили тех, кто работает на ниве информационной безопасности, ведет свой блог и кого действительно читают. Выбрали тему, исходя из того, о чем пишут много и что много комментируют. Вы догадались – это, естественно, тема персональных данных, ну, а мероприятие будет называться «Персональные данные – год после новой редакции закона».

Получилось пять участников, имена которых читающим блоги коллег хорошо известны – Алексей Лукацкий, Алексей Волков, Евгений Царев, Александр Бондаренко, и ваш покорный слуга, эту кашу заваривший, а потому и взявший на себя обязанность секцию модерировать.

Хотелось отойти от традиционных форматов с обязательными презентациями по 20-30 минут и последующими скоротечными обсуждениями услышанного-увиденного с парой вопросов из зала. Поэтому все будет как в живом журнале. Сначала каждый из авторов воспроизведет короткий пост на выбранную им тему, связанную с персональными данными (5-7 минут, не больше), а затем  все желающие (в разумных пределах регламента) получат возможность эту тему прокомментировать, поспорить с автором и с оппонентами. В общем, все как в интернете, только вживую.

Поскольку главным объектом внимания приглашенных блогеров является обеспечение информационной безопасности при обработке данных о гражданах в условиях изменившегося закона, сценарий панели будет выглядеть примерно так.

1.     Евгений Царев порассуждает о персональных данных в цифровом мире и возможности выражения согласия на обработку данных проставлением «галочки» в соответствующей веб-форме, а также попытках аналогичным способом это согласие отозвать, например, отписаться от рассылки.

2.     Алексей Лукацкий будет отвечать на бесконечно обсуждаемый вопрос, надо ли применять сертифицированные средства защиты в информационных системах персональных данных или без этого вполне можно обойтись. Вопрос представляется особенно актуальным в свете письма Банка России по этому вопросу и публикации проектов постановлений Правительства по уровням защищенности, в тексте которых появились неожиданные нюансы, свидетельствующие о некоторых подвижках в позиции регуляторов.

3.       Александр Бондаренко выскажет свою точку зрения на то, как и для чего требуется оценивать угрозы безопасности персональным данным. И вообще, что надо делать – моделировать или исполнять?

4.     Темой Михаила Емельянникова (т.е. моего поста J) будет выполнение оператором своих обязанностей при поручении обработки персональных данных иному лицу, загадочному ЛООПДППО. Есть некоторые соображения относительно того, как реализовать требования закона о моделировании оператором угроз безопасности, определении потенциальных каналов утечки сведений и выборе средств защиты в условиях, когда у ЛООПДППО таких операторов много – десятки и сотни, которые в глаза не видели информационную систему этого самого «лица, организующего…», и вряд ли ее увидят. Ну, у всяких там ЦОДов, аутсорсеров кадрового и бухгалтерского учета и прочих лиц.

5.     А завершит обсуждение подкаст Алексея Волкова «Разъясняй и властвуй: могут ли федеральные органы исполнительной власти разъяснять законодательство и как следует к ним [этим разъяснениям] относиться». Этот же вопрос будет касаться и всего того, что скажут выступающие до Алексея коллеги, но оставим интригу, послушаем автора поста. А потом тоже обсудим.

Вот такое предполагается живенькое мероприятие. Приходите. Читайте посты, готовьте аргументы, участвуйте в обсуждении. Место встречи – Экспоцентр, конференц-зал «ФОРУМ», 7 павильон, 5 зал, время – с 14.30 до 16.00 4 октября.

Уведомление о неучастии в Съезде российских ИТ-директоров

Уважаемые коллеги!

Хотел бы вас уведомить, что я не участвую (и не планировал) в Десятом Съезде российских ИТ-директоров Russian CIO Summit – 2012 и тем более не модерирую там секцию. Мое имя организаторы используют без моего ведома и согласия, а на просьбы исправить ситуацию не реагируют. Поэтому вынужден сообщить об этом сам.

Название секции, которую я якобы должен был модерировать, -  «CIO как центр безопасности. Поддержание непрерывности и борьба с угрозами бизнесу», также придумано организаторами и не имеет ко мне никакого отношения.  Я вовсе не считаю CIO центром безопасности.

Желающим посетить мероприятие, возможно, стоило бы предварительно проверить программу. В ситуации со мной это откровенное «разводилово».

Ссылку на мероприятие не даю, поскольку:

1.     Рекламировать его не собираюсь.

2.     Сайт организаторов конференции содержит вредоносный контент:

DLP как термометр уровня информационной безопасности в бизнесе

В прошедшую пятницу бодро, при хорошем стечении народа, и в современном стиле с диванчиками на сцене, яблоками и огромными плазменными панелями прошла V международная конференция DLP-Russia. 

Не готов комментировать всю программу, тем более, что секции шли в трех параллельных потоках. Поэтому впечатления сугубо субъективные – от реакции на мою презентацию про судебный процесс, связанный с увольнением за разглашение коммерческой тайны, и от итоговой панельной дискуссии об охране объектов интеллектуальной собственности.

Как-то так получилось, что аналитики нашего агентства в последнее время глубоко погрузились в тему судебной практики, связанной с вопросами, традиционно относящимися к сфере информационной безопасности. Интерес к этим вопросам активно проявляют клиенты, к которым пришло понимание того, что дело вовсе не в эффективности разбора протоколов межсетевым экраном или эффективности эвристической компоненты системы предупреждения вторжений. Дело в деньгах – потерянных или приобретенных по результатам деятельности подразделения ИБ. Про эти проблемы я уже писал не раз и не два. И, тем не менее, обсуждение презентации про решение Достоевского райсуда города Обломова показывает, что для многих коллег, причем самого разного возраста, тема остается неожиданной, и к ее проблемам большинство из них не готовы (презентация здесь). 

Дискуссии последних лет о том, насколько специалистам в области ИБ необходима качественная юридическая подготовка, упирается в стену с другой стороны. Практика общения с заказчиками, как реальными - на проектах, так и потенциальными – на курсах и семинарах, показывает, что юрисконсульты наших предприятий и организаций к обсуждению проблем интеллектуального и информационного права не готовы. Они в большинстве своем – хорошие цивилисты-практики, умеющие отстоять свою позицию в суде при оценке выполнения договорных обязательств или взыскании дебиторки. Но вот исключительные права на результаты интеллектуальной деятельности, охраноспособность информации как секрета производства или правомерность обработки персональных данных без явно выраженного согласия субъекта вызывает легкую оторопь как минимум. С другой стороны, на курсах по проблемам применения законодательства о коммерческой тайне и персональным данным, особенно вне Москвы, специалистов по безопасности у меня практически не осталось. Сплошь юристы. Т.е. проблема явно есть, а ее решения пока не видно. То ли безопасники получат второе высшее и станут еще и правовиками, то ли юрисконсульты разберутся в принципиально новой тематике, что, как говорил товарищ Сухов, вряд-ли – уж очень она специфическая и требует знаний, в их обычной деятельности не использующихся. 

В этих обстоятельствах порадовала панельная дискуссия «Защита интеллектуальной собственности и информационных активов предприятия» и совсем не потому, что она прошла под моим модерированием ;). 

Порадовала в первую очередь составом участников, приглашенных организаторами.  Андрей Селезнёв, директор по развитию бизнеса компании Marussia Motors, которая обещает в ближайшее время взрыв российского автопрома, вечного Infant Terrible отечественной экономики. Рустэм Хайретдинов, последовательно и уверенно выступавший как топ-менеджер двух компаний-разработчиков софта, а не средств защиты информации. Владимир Звейник, заместитель директора по безопасности, начальник управления Федеральной уполномоченной организации «Универсальная электронная карта», в недавнем прошлом работавший в «Рособоронэкспорте» и спецслужбах.
Взгляд на интеллектуальную собственность и способы ее защиты с трех совершенно разных, не коррелирующих сторон, неожиданно оказался очень близким. Оказывается, режим коммерческой тайны, не останавливающий бизнес и не заливающий носители информации бетоном, бизнесом востребован. И соответствие требованиям регуляторов воспринимается положительно, даже если эти регуляторы бизнесу не помогают, но риски, в первую очередь, государственные, создают. И нормотворчество, которое часто пытаются назвать «бумажной безопасностью», нужно, если, конечно, это не попытка прикрыть 50-ю сантиметрами бумаги известное место специалиста по ИБ. И нематериальные активы, и их стоимость могут быть понятны не только бухгалтерам, но и безопасникам, если они эти активы защищают.
Безусловно, нюансы есть. Рустэм говорил о скорости бега, позволяющей оторваться от конкурентов, пока они будут анализировать выпущенные лидером миллионы строк кода. Андрей прозрачно намекал на правильный выбор юрисдикции для защиты своих исключительных прав на новый узел автомобиля или изгиб его крыла, а также о правильной мотивации персонала. Владимир был более традиционен и не сомневался в действенности режима.

Но главным было то, что люди из совершенно разных сфер деятельности, действительно заботящиеся об исключительных правах на защищаемую информацию, могут договориться. Если они говорят о бизнесе, о прибыли и об убытках, о способах их взыскания. Если говорят об организации работы персонала, который знает все, но может это все отнести в клювике к конкуренту, а может стать грудью на защиту, когда это пытается сделать его коллега.

Конференция DLP – идеальное место для таких дискуссий. Потому что DLP-система (Data Leak Prevention - система предотвращения утечки информации) – практически единственное средство информационной безопасности, решающее исключительно бизнес-проблемы. И если организаторы конференции в следующем году продолжат эту линию, вовлекая в обсуждение топ-менеджмент, владельцев бизнес-процессов, юристов, финансистов, у конференции могут появиться совершенно новые качества. И тогда она станет уникальной на рынке.

Дайджест изменений законодательства по информационной безопасности за прошедший год

В четверг провел организованный Учебным Центром «Информзащита» вебинар «Изменения законодательства в области информационной безопасности и практики его правоприменения». Тяга к знаниям границ не знает, но организатор все же был вынужден остановить запись на вебинар за 10 дней до его начала, так как количество записавшихся достигло 500 человек и превысило технические возможности.

После часового дайджеста по затрагиваемым проблемам больше 40 минут отвечал на вопросы в чате. Как ни прискорбно, основная масса по-прежнему касается законодательства о персональных данных. Прискорбно, потому что тема формального соответствия, подкрепляемая поручением гаранта довести до конца дело с изменением штрафов, направляет работу огромного количества специалистов в сторону решения проблем, далеко не всегда критичных для организаций и предприятий с точки зрения реальных потребностей бизнеса. А это значит, что на действительно серьезные проблемы (а иногда и просто на их выявление) сил, ресурсов и времени будет недостаточно.

Для тех, кто не слушал или не успел записаться, но кому интересно – выкладываю презентацию. И еще раз - это не анализ проблем и не рецепты их решения. Это дайджест, ограниченный всего лишь 60 минутами. Поэтому многого там нет, а что-то – только очень кратко упомянуто. Но для тех, у кого следить за динамикой принятия нормативно-правовых актов нет ни возможностей, ни большого желания, презентация может быть полезной – хотя бы для того, чтобы просто сделать пометки и поглубже разобраться.

Добро пожаловаться!

В недавнем посте я писал про рост понимания мошенниками значимости персональных данных для изыскания дополнительных способов изъятия денег у населения. Но и население, естественно, не дремлет. Оно тоже начинает понимать эту самую значимость, свои права и возможности, а также задумываться над такой загадочной для русской души категорией, как компенсация морального вреда.

Наиболее способные сделали из этого целый бизнес. Вот, например, неожиданно ставшая широко известной в нешансонных кругах певица. Оказывается, она давно изобрела способ ловли «на живца», публикуя у себя сведения о своей собственной частной жизни, а потом тягая желтые или похоже окрашенные издательства к ответу за незаконное распространение персональных данных. Учитывая пиетет россиян к публичным  деятелям, суды принимают близко к своему судейскому сердцу проблемы знатока порядка посещения «мичетей», входят в ее сложное положение, и регулярно выписывают материальную помощь в несколько сот тысяч рублей, немного охлаждая запросы мастерицы вокала, измеряемые миллионами.

Не такие известные, но сознательные граждане тоже осваивает технику воздействия на операторов, использующих их личные данные без достаточных на то оснований или гораздо разнообразнее, чем предусматривалось при сборе. В «Отчете о деятельности Уполномоченного органа по защите прав субъектов персональных данных за 2008 год» (первом, опубликованном по данному вопросу) сообщалось, что за отчетный период в адрес службы поступило 146 обращений граждан, и в 86 из них граждане обжаловали действия конкретных операторов персональных данных, нарушающих, по их мнению, требования ФЗ-152. Примерно такое же количество обращений граждан – порядка 150 (4% всех обращений граждан в службу) – поступило в уполномоченный орган только во 2 квартале 2011 года. А потом темп роста резко изменился. В соответствии с последним отчетом за тот же период, 3 месяца, но уже во втором квартале 2012 года, количество обращений выросло в 6,5 (!) раз и достигло 975, что составило 17% всех поступивших в службу запросов.

Заметно и проникновение новых технологий в нашу жизнь. Если в 2009 году через сеть Интернет и по электронной почте в Роскомнадзор поступило примерно 20% всех обращений, то во 2-м квартале 2012 года – уже 66%, причем 15% - непосредственно через форму на официальном сайте сети Интернет.

Очень удобно, просто и быстро.

Как истинный естествоиспытатель, проверил на себе. Охотно делюсь впечатлениями.

Исходная обстановка: заспамили. Некая компания регулярно стала присылать мыло с рекламой (адресной – «Уважаемый(ая) Емельянников Михаил!»), и после двух тинькоффых подряд я не выдержал. Троекратное обращение к спамерам единственно возможным способом – через специальную форму на сайте ничего не дало. Тинькоффы продолжались. Между прочим, кроме широко и часто обсуждаемой ст.15 ФЗ-152, спам – еще и нарушение ст.18 ФЗ «О рекламе», за которое предусмотрена, в отличие от персональных данных, вполне конкретная ответственность – часть 1 ст.14.3 КоАП, до 500 тыс.рублей штрафа (нарушения, подведомственные Федеральной антимонопольной службе - ФАС). Статья работающая – см., например, здесь.

Вот я и настрочил две жалобы – на сайте Роскомнадзора и на сайте ФАС. Форма у ФАС отличается от роскомнадзоровской – там надо обязательно еще и почтовый адрес указать (это оказалось впоследствии вполне конкретной засадой). Кстати, найти форму для заполнения обращения на сайте ФАС совсем не просто – для нуждающихся - ссылка.

На сайте Роскомнадзора в качестве аргумента к жалобе можно прикрепить файл, с этим самым спамом, например. Имейте ввиду, файл – только один, поэтому если аргументов много, заранее сформируйте архив. Я такие файлики приаттачил. На сайте ФАС прикрепление файлов не предусмотрено.

ФАС получение жалобы на электронную почту квитирует (подтверждение получения, телефон канцелярии, где можно узнать входящий номер и департамент, рассматривающий обращение). Роскомнадзор – нет, обращение падает в пропасть. Повторное, кстати, - тоже.

Дальше – ждем по закону 30 дней.

Первое и занятное наблюдение – персональные данные жалобщика надзорными органами передаются … тому, на кого жалуешься. Генеральный директор спамера отзвонился быстро, оперативно, принес извинения, рассказал о шоке, вызванном попыткой узнать, кто я такой, через поисковики. Предложил компенсацию доставленных неудобств. Спам прекратился. Инцидент можно было бы посчитать исчерпанным. Но ведь интересно, что дальше будет!

Роскомнадзор (территориальное управление по месту нахождения спамера) отозвался строго по закону. Ответ – смотрите сами.

Он показался мне занятным. Естественно, никакое пользовательское соглашение я не заключал, форму на сайте не заполнял, а форма отписки от спама в письмах – мертвая, как уши у соответствующего осла. 

Что в госорганах – хорошо, так это уставной порядок. На письме – ФИО и телефон исполнителя. Звоню. Диалог – специально для Кафки:

- Я не заполнял пользовательского соглашения.

- Но Вы об этом не указали в жалобе.

- Я понятия не имею о его наличии и на сайте был единственный раз только с целью отписаться от спама.

- Вы не указали в жалобе, что не заполняли пользовательского соглашения.

- Откуда Вы знаете, что я его заполнял?

- Нам сообщил об этом генеральный директор компании, на которую Вы жалуетесь, и не верить ему у нас нет оснований.

- Я же жалуюсь на получение спама, на который я не давал согласия!

- Согласие на это есть в заполненном Вами пользовательском соглашении.

Все. Круг замкнулся.

Отсюда выводы. Отношение к публичным офертам (пользовательским соглашениям) и галочкам на страничках сайтов в Интернете, подтверждающим согласие субъекта на обработку его персданных, у некоторых (за все говорить не могу) территориальных управлений Роскомнадзора за последние годы радикально изменилось. Похоже, появилась презумпция невиновности оператора. Во всяком случае, в данной ситуации она очевидна. Жалобы надо писать тщательнее, с полным изложением аргументов. Сам по себе спам – еще не аргумент.

И про ФАС. Здесь все веселее. Ответ через 30 дней на электронную почту я не получил. Позвонил, дали телефон исполнителя. Диалог еще веселее, приводить не буду. Короче, ответ ушел на почту неэлектронную, воспроизвести его по телефону нельзя, получить ответ по электронной почте – тоже, поскольку таковы правила.

Опытным кляузникам читать все, что указано на сайте надзорного органа, надо обязательно. Перед формой обращения на сайте ФАС среди прочих есть фраза: «4. Ответ направляется на почтовый адрес. При необходимости получения ответа на электронный адрес, просим указать это в обращении». Не указал – жди ответа через Почту России, как соловей лета. Жду. Получу – расскажу.

К чему так многобукв? Если еще кто помнит, ФЗ-152 – про обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а не про ведение реестра операторов. И наши с вами права и свободы – это и наши же проблемы. Так что если они нарушаются – добро пожаловаться!