Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

В России хотят создать мегарегулятора информационной безопасности, взяв пример с США

18/11/2017

В рамках реализации программы «Цифровая экономика» предлагается определить единый госорган, ответственный за требования к средствам информационной безопасности.

Обучение

Бесплатный вебинар по применению комплексного средства защищенности «Сканер-ВС»
21 февраля 2018 года

036.2. Внедрение системы управления информационной безопасностью
27 - 28 февраля 2018 года

Бесплатный вебинар «SIEM-система КОМРАД. Часть 1 – сбор событий безопасности»
28 февраля 2018 года

036.3. Внутренний аудит СУИБ на соответствие требованиям международного стандарта ISO/IEC 27001:2013
01 - 02 марта 2018 года

037. Криптографические и технические методы защиты информации
12 - 23 марта 2018 года

002. Техническая защита информации. Способы и средства защиты информации от несанкционированного доступа
19 - 23 марта 2018 года

009. Администрирование АПКШ «Континент» Версия 3.7. Базовый курс
19 - 21 марта 2018 года

011. Администрирование АПКШ «Континент» Версия 3.7. Расширенный курс
22 - 23 марта 2018 года

015.1. Основы работы в операционной системе Astra Linux
26 - 27 марта 2018 года

015.2. Системное администрирование операционной системы Astra Linux Special Edition
28 - 30 марта 2018 года

015.3. Системное администрирование операционной системы Astra Linux Special Edition. Специальный курс
02 - 03 апреля 2018 года

015.4. Системное администрирование Astra Linux Special Edition (2 часть)
04 - 06 апреля 2018 года

Реклама

Партнеры

Лаборатория кибербезопасности



Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 3 4 5 ... 7 След.
Ответить
RSS
Сайт знакомств, соцсеть и так далее
Сайтов такого рода полно. Создаем свой сайт. Вот интересно, если при регистрации на сайте пользователь вводит свои фио, возраст, семейное положение и так далее (сами наверное сталкивались), то значит владельцам сайта надо проходить какую-то странную, дорогостоящую и мегасложную процедуру по защите персональных данных?
Кстати, а если на этом форуме зарегистрироваться, то администрация форума тоже должна исполнять ФЗ 152, то есть закупать дорогостоящее оборудование, дорогостоящее ПО, собирать кучу документов, получать кучу документов, нанимать дорогостоящих специалистов, которых еще в природе не существует?

А вот если я познакомился вчера с очень интересным человеком, а сегодня еще с одним, и вообще круг моего общения около 1100 человек, и почти у всех я знаю ФИО, мобильный телефон, у части знаю даже адрес (!) и электронную почту, то что делать-то? Мой мозг ведь осуществляет автоматизированную обработку... Мне должны вживить какую-то сертифицированную ФСТЭК микросхему? Ведь по сути я осуществляю автоматизированную обработку ПДн... Я ведь гендиректор ОАО... Это все мои контакты. Когда чипы продавать начнуть и сколько они будут стоить? А льготы пенсионерам будут? А это под общим или местным наркозом делать будут? А если у меня аллергия на анестетики? Тогда память будут стирать?...

Кстати... У меня еще есть красивая кожаная визитница... Полуавтоматическая. Пацаны подарили. Говорила мама будь осторожнее с друзьями... Не послушался. Визитницу теперь придется выкинуть, а визитки сжечь... Или сразу пойти и сдаться в Роскомнадзор... Нет, не поймут. Не поверят, что визитки сжег. Чип вживлять наверное будут. А ведь аллергия... надо было с каждого письменное разрешение брать. Эх... Булгаков, если бы сейчас был жив... Такой материал пропадает.
Делаем маленькую галочку на согласие на общедоступность введенных пользователем ПДн и половина ваших вопросов и негодований решена. Вторая половина заключается в том, что да, любый ПДн нужно защищать в соответствии с законодательством.
Цитата
Карбер пишет:
Делаем маленькую галочку на согласие на общедоступность
Галочка не катит, нужно письменное согласие, а значит по форме, указанной в законе, причем в самом согласии больше ПДн, чем оператор обрабатывает по основной деятельности. Поэтому про общедоступность придется забыть. ИМХО выход такой: с субъектом заключается договор (в конклюдентной форме), где прописаны обязанности владельца сайта и клиента, что его ПДн предоставляются другим пользователям сайта, что он обязан соблюдать конфиденциальность в отношении ПДн других пользоватлей (152 ФЗ ст. 7) и галочка о согласии с условиями договора. Таким образом уходим от распространения неограниченному кругу лиц (общедоступности), осуществляем обработку на основании договора и предоставляем ПДн другим пользователям на основании согласия.
Изменено: Сергей С. - 16.02.2012 09:12:14
А как там с размещением всего на забугорных хостах и обеспечением АДЕКВАТНОЙ защиты ПДн? Т.е. и без паранои, и в ладах со своей совестью.
Как правило, размещение в Европе и США, в Европе - конвенция, США навярняка будут в списке стран, обеспечивающих адекватную защиту.
Галочка не на действие оператора с целью сделать ПДн общедоступными, а галочка, чтобы юзер был в курсе, что все что он напишет будет общедоступно и сайт ответственности не несет.
Вы же не можете запретить субъекту сообщать свои ПДн если он сам хочет это сделать?
Я не нарушая закон могу выйти на улицу и начать кричать свои ФИО и телефоны, а могу в письменной форме рассылать свои ПДн по понравившимся адресам.

Кто-нибудь писал полное письменное согласие, когда регистрировался на одноклассниках или в контакте?
ЩЗабугорные хосты охраняются, как военные объекты. Посмотрите Hetzner или EvoSwitch. Мне другое непонятно. Пользователя в соцсеть никто не тащит силком. Люди регистрируются по своему великому желанию. Они публикуют свои фио и возраст. Точно также, как они знакомятся и в реальности. С каких пор имена и возраст людей нуждаются в какой-то защите??? Это абсурд, кульминация идиотизма. Каждый хозяин своего домена принимает титанические усилия для работоспособности своего ресурса. Это было, есть и будет. А причем тут защита ФИО??? Я понимаю, если пользователь предоставляет мне свои номера и коды кредитных карт, тогда да, ресурс надо защищать и может быть в соответствии с какими-то стандартами. То есть персональная информация, являющаяся действительно конфедициальной, безусловно нуждается в защите. Повторюсь, КОНФЕДИЦИАЛЬНОЙ. Но на нашем сайте никто ее не запращивает. Она нам ни под каким соусом не нужна. Имена нужны, чтобы люди обращались друг к другу по имени или имени и отчеству, учитывая возраст собеседника. Мы же культурные люди! Мало кому хочется "тыкать". Это не культурно. Каким местом имена и возрасты нужно защищать? С какого перепуга их надо защищать. Кто-нибудь может дать вразумительный ответ в этой стране? С другой стороны, почему государство мне диктует какими средствами защищать мой хост? На рынке море продуктов. Я сам хочу выбирать, что мне покупать и вообще покупать ли. Налицо коррупция и продвижение "отдельных" продуктов. Для меня ни ФСТЭК, ни те, кто с ними, ниразу не являются экспертами по безопасности.
Цитата
Карбер пишет:
Вы же не можете запретить субъекту сообщать свои ПДн если он сам хочет это сделать?
Могу. Пусть создает свой сайт (тот же блог) и пишет на нем что хочет. Если я создал сайт для определенных целей (услуг) еще и деньги за это беру, то и правила устанавливаю я, в т.ч. право удаления. Регулятор ведь спросит с владельца сайта основание обработки ПДн без письменного согласия на общедоступность. Тут камней полно. И главное невозможность проверки размещенных данных. Ведь я могу на сайте любителей садомазо разместить данные "любимого" соседа или "заклятой" подруги, и телефончик в довесок. Вообще получаем, что если оператор не имеет возможности проверить точность (в терминах ст. 5) ПДн, то относить эту информацию к персональным не корректно.
Сергей, я тоже понятия не имею, что у меня там пользователи вводят. И проверить это никак не могу. С другой стороны, все соцсети стремятся к тому, чтобы пользователи вводили реальные и корректные данные. Для чего? Да потому, что это поднимает престиж ресурса. Становится все меньше ресурсов "каменного века" когда были ники и логины, например, fehdsxxw3422. А теперь что получается? Обратно в каменный век? Обратно к таким логинам и именам? А что делать почтовым службам? Майл и Рамблер сто лет как просят при регистрации ввести настоящие ФИО. И это правильно. А дальше - на совести пользователя. Реальность и рынок сам все расставляет по своим местам. Зачем здесь регулятор понадобился? Лучше наверное регулировать сельское хозяйство, чтобы хоть что-то начали сеять и урожай собирать. Эти законы должны были коснуться исключительно госучреждения. На все остальные случае уже есть законы и приказы. Что, нет подожений об охране врачебной тайны?
Наверное придется выводить свой бизнес в любую нормальную страну, например, в Африку, а сервер все равно будет находиться там, где безопаснее, круче и дешевле... Это закон рынка. Вот не понимаю, чего тогда известные персоны "сокрушаются" об оттоке капитала из России.
Карбер, я думаю, если вы выйдете на улицу и будете кричать свои ФИО и телефоны, то могут арестовать и привлечь по административке за нарушение общественного порядка ))) Поэтому делать это надо по-тихому, например, выйти с плакатом, на котором написаны ваши ПДн. Но в таком случае могут привлечь за несанкцонированный митинг. А это уже серьезно. Если митинг санкционировать, тогда проблемы могут случиться у журналистов, так как они уже будут операторами ваших ПДн во всех смыслах этого слова ))) Поэтому делаем выводы такие: в России теперь никому и ни при каких условиях нельзя сообщать свои ПДн, дабы не подставить ближнего своего.

Кстати, а вот как теперь банкам быть... Это же столько надо потратить денег, чтобы всю эту чепуху внедрить, а потом поверх этой чепухи поставить нормальную систему безопасности. Наверное ставки по кредитам взлетят.
Никто никому не вправе запретить сообщать свои ПДн.

Например, существует некая организация не важно какого толка. У нее есть физический и электронный почтовый адрес. Любой гражданин имеет право написать туда письмо хоть на бумаге, хоть в электронном виде. И что? Теперь эта организация становится оператором ПДн? И должна обеспечивать мифическую охрану ПДн? О какой охране идет речь? Что охранять надо? ФИО? Возраст? Адрес? От кого охранять? Почему? В угоду Регулятору? По какой логике? Человек сам сообщает свои данные и ждет решения по своему обращению и ответа.

Если речь идет о соцсети, то я, как пользователь, имею полное право сообщить свои ПДн. А соцсеть может меня удалить только тогда, когда я нарушу Договор или Пользовательское соглашение. А если в этом договоре прописано, что пользователь не имеет права вводить свои ПДн, то это вообще уже странно. Нас на что толкает Регулятор? К всеобщему хаосу и лжи?

Каким секретом могут быть ПДн? Все знают как меня зовут. Ко мне обращаются и по имени и по имени и отчеству. А как быть с ношением обручального кольца? Это же ужас! Ведь все узнают, что я женат. Получается, что с точки зрения ФЗ 152, факт моего женатого положения должен охраняться? Но в тоже время все носят обручальные кольца и гордятся этим. Оооооочень большой непорядок в консерватории. Куда ни ткни, этот закон сыпется. И никаким образом не улучшает положения дел, а только заставляет платить и платить строго обозначенным конторам деньги.

Кстати, такая же чепуха творится и с обязательной сертификацией рабочих мест. Еще тот баян! Никакого улучшения условий труда для работника не происходит. Только деньги лишние из организаций уходят. А как были ужасные мониторы и грязные неработающие клавиатуры у офисных сотрудников, так и остались. Особенно в госучреждениях. С освещенностью на рабочих местах и вообще с должным уровнем требуемого микроклимата беда. Не работает закон. Только нервы мотает и заставляет тратить деньги, которые могли пойти на повышение зарплат.
Практически каждый гражданин России живёт в квартире или частном доме. Поэтому многие знают номер этой квартиры, номер дома и название улицы. Также многие знают имя и отчество этого человека, а кто-то и фамилию. Более того, много людей знают на каком автомобиле перемещается этот гражданин, какой гос. номер этого авто, марка, а возможно и год выпуска. Почти все в этом маленьком городишке знают, что он женат и имеет троих детей. Знают как зовут жену и как зовут их детей. Знают также телефоны их родителей. А соседи иногда слышат через стенку "порывы страсти" влюблённых, то есть подробности интимной жизни. Иногда Петровы ругаются. И об этом тоже все узнают, и о причинах тоже. Иногда Петровы обмениваются с семейством Сидоровых фотографиями с общего утренника детишек. А ещё Петровы переписываются "ВКонтакте" со своими давними друзьями по армейской части и там же обмениваются фотографиями. Ну не очень удобно им пользоваться электронкой, ведь в соцсети можно и фото переслать (показать) и обсудить что-нить сразу.

Так какие данные эти Федеральные законы собрались охранять?
От кого? Налицо навязывание услуг и продуктов.

Много чего не учли эти ФЗ. Нельзя было накрывать всех сразу и одним медным тазом. Нужно было вводить узконаправленные отраслевые стандарты, которые ни в коем случае не заставляли бы нести большие материальные затраты. А это можно сделать только внимательно изучив состояние дел на данный момент. Как понимаю, этого не было. Разумеется, в этих стандартах должна присутствовать логика и только логика. И начинать это всё можно было только тогда, когда была бы создана конкуренция по соответствующим продуктам ото всех участников рынка, а не от "избранных" неизвестно по какому принципу. Интересно, вот есть чисто проприетарное ПО. Код такого ПО разумеется закрыт. Оно правильно - охрана интеллектуальной собственности. А как такой продукт может пройти сертификацию? Мне теперь надо "Альт Линукс СПТ 6.0" покупать??? Ну с какого перепуга? А мне может нравится Win server или Mac OS...
Ого-го!!!
Перешёл по указанной на сайте рекламе и ужаснулся (http://gtrust.ru/).
И это на одно рабочее место, просто ознакомиться со стандартами. А почему Регулятор не обеспечил всех необходимыми документами бесплатно? Это же адцкая и неподъёмная сумма!!! А потом смотрим новости и слышим: "Бизнесмен в расцвете сил выбросился из окна. Причины такого поступка неизвестны". Похоже в каждом таком случае надо искать очередной ФЗ...
Интересные ссылки на эту же тему:

Персональные данные и малый бизнес
Закон о защите персональных данных. Как регулировать web-среду?

Все анекдоты мира вместе взятые просто отдыхают.
А кто будет нести ответственность за такое безобразие?
А законодатели вообще какую-нибудь ответственность несут?
Это же преступление против свободной воли человека.
Цитата
Гость пишет:
И это на одно рабочее место, просто ознакомиться со стандартами. А почему Регулятор не обеспечил всех необходимыми документами бесплатно? Это же адцкая и неподъёмная сумма!!!
Это зарубежные и международные стандарты, платные они как для РФ, так и для запада. ГОСТы у нас бесплатные, в том числе и по ИБ, часть из которых - переведенные и адаптированные международные стандарты.
Цитата
Гость пишет:
Также многие знают имя и отчество этого человека, а кто-то и фамилию. Более того, много людей знают на каком автомобиле перемещается этот гражданин, какой гос. номер этого авто, марка, а возможно и год выпуска. Почти все в этом маленьком городишке знают, что он женат и имеет троих детей.
Соседи и друзья - не операторы ПДн, на них действие закона не распространяется.
Цитата
Гость пишет:
А мне может нравится Win server или Mac OS...
Win сервера сертифицированы. Не нравится альт линукс, но хотите сидеть на нём? - покупайте навесное СЗИ, которое под линукс идёт, таких с 10ок точно найдёте.
Цитата
Гость пишет:
Например, существует некая организация не важно какого толка. У нее есть физический и электронный почтовый адрес. Любой гражданин имеет право написать туда письмо хоть на бумаге, хоть в электронном виде. И что? Теперь эта организация становится оператором ПДн?
Если Вы тут напишете, что Вы Иван Иваныч, паспортные данные такие-то, болеете энурезом, создатели форума не станут от этого оператором ПДн. Почитайте внимательно определение оператора и сами всё поймете. Другое дело с гос. органами и ФЗ, касающегося рассмотрения обращений граждан, но там определен состав ПДн.
Цитата
Гость пишет:
Это же столько надо потратить денег, чтобы всю эту чепуху внедрить, а потом поверх этой чепухи поставить нормальную систему безопасности. Наверное ставки по кредитам взлетят.
Уж для банков, с их заработком, требования 152-ФЗ выполнимы точно, всё дело в желании.
Цитата
Гость пишет:
Интересные ссылки на эту же тему:
Статья Михаила Емельянникова написана по старой версии ФЗ, 2 статья мягко говоря сп_орная.
Изменено: Trotsky - 16.02.2012 22:01:58
Цитата
Это зарубежные и международные стандарты, платные они как для РФ, так и для запада. ГОСТы у нас бесплатные, в том числе и по ИБ, часть из которых - переведенные и адаптированные международные стандарты.

Доступ к любой нормативной документации должен быть бесплатен. Но государство не беспокоится о том, чтобы любой гражданин имел доступ к законодательной базе. Поэтому у нас и процветают коммерческие версии законодательства (Консультант, Гарант). Если бы государство предоставляло каждому гражданину РФ, хотя бы через Интернет, круглосуточный доступ ко всем нормативным документам, тогда бы коммерческие версии законодательства не существовали, потому что их никто бы не выпускал за ненадобностью. Если РФ угодно за что-то платить, пусть платит. Мне как гражданину должен быть гарантирован бесплатный доступ ко всей нормативной базе моей страны. Или мне ещё заплатить надо, чтобы узнать все свои права и обязанности??? По сути так и происходит. Это и есть очень большое нарушение моих прав и свобод. Поэтому Ваши доводы я принять не могу. Я понимаю, что Вы хотите сказать, но и Вы меня тоже поймите. Также я понимаю, что GlobalTrust.ru (и все остальные на этом 152-ом рынке) несёт большие издержки по созданию своего продукта. Они работают, короче говоря. Это я тоже понимаю.

Продолжу в следующем сообщении.
Цитата
Соседи и друзья - не операторы ПДн, на них действие закона не распространяется.

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Собственно говоря, я даже и не совсем это имел ввиду.
А говорилось об абсурдности защиты ПДн. Нужно ведь понимать чётко, какие данные конфиденциальны, а какие нет. Если жизнь наша так устроена, что большинство моих ПДн становится полностью доступным всем членам общества, то почему появляется кто-то, кто эти данные объявляет нуждающимися в какой-то защите? И за это ещё денег требует и неимоверных трудочасов!!! Человек, когда знакомится, представляется, оставляет свою визитку, что-то на ней пишет ещё в добавок. Тоже самое происходит и в современных соцсетях. С какого перепуга эти данные должны стать охраняемыми??? Вот о чём говорилось.
Цитата
Гость пишет:
Доступ к любой нормативной документации должен быть бесплатен.
Доступ к ГОСТам бесплатен, зарубежные стандарты платные из-за того, что их сделали платными сами организации их выпускающие, к тематике ПДн они не имеют прямого отношения и практически не используются, кроме того обязательными ГОСТы (по крайней мере большая часть) не являются, как Вы понимаете.
Цитата
Гость пишет:
Но государство не беспокоится о том, чтобы любой гражданин имел доступ к законодательной базе.
Как раз таки заботится, несколько лет назад, государство обязало Госстандарт публиковать все ГОСТы на оф. сайте, что они нехотя исполняют, можете сами проверить.
Цитата
Гость пишет:
Поэтому у нас и процветают коммерческие версии законодательства (Консультант, Гарант).
Основополагающую часть законодательства там можно в любое время посмотреть бесплатно, в том числе и скачать. Прочая часть, вплоть до областных законов там доступа во внерабочее время, думаю справедливо. Кроме того есть и гос. база законодательства, но она ИМХО неудобная и кривая, но это можно понять.
Страницы: 1 2 3 4 5 ... 7 След.
Ответить
Читают тему (гостей: 7, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку