Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

GDPR: Новые правила обработки персональных данных в EU

15/06/2018

Все слышали о General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679), который вступил в силу 25 мая 2018 года. Штрафы большие и придётся соответствовать. Как и любой официальный документ, он написан сухо и может трактоваться по-разному.

Реклама

Партнеры

Лаборатория кибербезопасности







Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
RSS
Что бы вы изменили в Постановлении Правительства РФ № 1119?
Представьте, что у вас появилась возможность внести любое количество любых изменений в сабжевое постановление или даже и вовсе создать новый документ. Что бы вы сделали? Какие изменения / дополнения внесли? Что бы убрали?

Например, лично я бы устранил три недостатка:

1. (Самый очевидный) Невозможность однозначного определения уровня защищённости информационной системы, в которой обрабатываются персональные данные 100 000 субъектов.

2. Незаконное установление обязанности операторов по оценке возможного вреда субъектам персональных данных.

3. Незаконное игнорирование некоторых критериев из числа указанных в 152-ФЗ для установления уровней защищённости. Напомню, их пять:
1) возможный вред субъекту персональных данных;
2) объём обрабатываемых персональных данных;
3) содержание обрабатываемых персональных данных;
4) вид деятельности, при осуществлении которого обрабатываются персональные данные;
5) актуальность угроз безопасности персональных данных.

С "2" и "3" проблем нет (при некотором толковании — также с "5"). А вот критерии № 1 и № 4 не учитываются вовсе. Между тем, очевидно, что персональные данные, нарушение конфиденциальности которых может повлечь насильственную смерть субъекта, должны защищаться серьёзнее, чем те, при распространении которых субъект получит лишь моральный вред. Мне кажется, основой для установления уровней защищённости должен являться именно возможный вред. И именно он определяется, грубо говоря, с поправочными коэффициентами от остальных критериев. Например, при прочих равных угрозы от распространения информации, обрабатываемой банком, заведомо серьёзнее, чем каким-нибудь кафе. А степень вреда от утечки ПД из интернет-магазина с 5 покупателями меньше, чем с 50 000. Ну и т. д. (К слову, согласны ли вы (концептуально) с таким подходом?)
Цитата
Михаил пишет:
1. (Самый очевидный) Невозможность однозначного определения уровня защищённости информационной системы, в которой обрабатываются персональные данные 100 000 субъектов.
Это для Вас он самый очевидный. Я вообще не вижу проблем с этими 100 000. У кого-то реально возникнет ситуация с ровным количеством? 100 000 это большой объем, значит у оператора большой поток пользователей. И уже через 5 минут у него будет более чем 100 000. Я даже больше скажу. Даже если бы у меня было 99 000, то я бы при определении УЗ считал что вскоре у меня будет более 100 и я бы брал более высокий уровень. Вот надо мне делать 2 раза одну и ту же работу.


Цитата
Михаил пишет:
Например, при прочих равных угрозы от распространения информации, обрабатываемой банком, заведомо серьёзнее, чем каким-нибудь кафе. А степень вреда от утечки ПД из интернет-магазина с 5 покупателями меньше, чем с 50 000.
Если произошла утечка паспортных данных, то какая разница откуда они утекли? В 152-фз говорится про вред субъекту, а не оператору у которого произошла утечка. А пользователю сиренево у банка данные увели или у кафе. Так же и с интернет-магазином. Пусть украли данные карт пользователей, так какая разница какой магазин если деньги с карт могут снять одинаково, зависит только от суммы на карте и как быстро это увидят.


Цитата
Михаил пишет:
Представьте, что у вас появилась возможность
А представьте что вы президент. К чему тут это фантазирование. При создании НПА иногда привлекают профессиональное сообщество, вот тогда и надо пользоваться возможностью и излагать свои мысли. Можете писать авторам документа свои несогласия. Ну а если документ принят, а все сидят и ничего не делают, ну так сидите дальше, ручки можете в бока упереть, щечки надуть и сидеть высказывать свое недовольство на форумах. От этого ничего не изменится.
Цитата
Sat_Kelman пишет:
К чему тут это фантазирование
К тому, что я как раз намерен не сидеть, как Вы изволили выразиться, дальше, а добиваться изменений.


Цитата
Sat_Kelman пишет:
Если произошла утечка паспортных данных, то какая разница откуда они утекли?
Если произошла утечка только паспортных данных, то самому пользователю это, конечно, безразлично. Но только у кафе с момента вступления в силу опубликованного сегодня постановления правительства информация о субъекте может исчерпываться паспортными данными (плюс ФИО и временем выхода в Интернет), то банк владеет намного большим количеством данных о субъекте.

Цитата
Sat_Kelman пишет:
Так же и с интернет-магазином. Пусть украли данные карт пользователей, так какая разница какой магазин если деньги с карт могут снять одинаково
При прочих равных чем больше субъектов, тем большие совокупные барыши сулит злоумышленнику несанкционированное получение указанных Вами данных о них и, соответственно, тем больше он будет к этому стремиться. Поэтому чем больше база данных, тем серьёзнее она должна быть защищена. Это не говоря про то, что чем больше людей пострадает от взлома, тем большую общественную опасность он несёт.

Цитата
Sat_Kelman пишет:
100 000 это большой объем, значит у оператора большой поток пользователей
Или работников. Или акционеров. Или это максимально возможное количество пользователей на сайте. Ситуаций, когда число 100 000 может быть относительно "стационарным", масса. Поэтому его в любом случае нужно куда-то отнести. Либо к меньшему, либо к большему классу. В противном случае, это создаёт условия для произвольного применения. Как для юриста, для меня это неприемлемо. Поэтому этот недостаток именно самый очевидный.
Цитата
Михаил пишет:
Если произошла утечка только паспортных данных, то самому пользователю это, конечно, безразлично. Но только у кафе с момента вступления в силу опубликованного сегодня постановления правительства информация о субъекте может исчерпываться паспортными данными (плюс ФИО и временем выхода в Интернет), то банк владеет намного большим количеством данных о субъекте.
Конечно у банка объем больше, но вы же сами говорили про вред

Цитата
Михаил пишет:
Мне кажется, основой для установления уровней защищённости должен являться именно возможный вред.
Вы наверно рассматриваете пример когда сливают все ПДн. Тогда вред при сливе у банка гораздо больше, но только в связи с тем что объем этих ПДн больше.
Цитата
Михаил пишет:
При прочих равных чем больше субъектов, тем большие совокупные барыши сулит злоумышленнику несанкционированное получение указанных Вами данных о них и, соответственно, тем больше он будет к этому стремиться. Поэтому чем больше база данных, тем серьёзнее она должна быть защищена.
Вероятность взлома выше, но опять же еще раз акцентирую внимание
Цитата
Михаил пишет:
критериев из числа указанных в 152-ФЗ для установления уровней защищённости. Напомню, их пять:
1) возможный вред субъекту персональных данных;
Вред субъекту, а не совокупный. Иванов купил в Магазине 1 (5 клиентов), Петров в Магазине 2 (50 000 клиентов). Украли данные. Какая разница какой магазин и сколько у него клиентов, если пострадают Иванов и Петров. Причем у Иванова могут увести 10 тыс, а у Петрова 1000. Тогда вред у Иванова будет больше.


Цитата
Михаил пишет:
Ситуаций, когда число 100 000 может быть относительно "стационарным", масса.
Да хоть один назовите. И работники увольняются и акционеры меняются. Каждый раз будете переделывать?


Цитата
Михаил пишет:
Как для юриста, для меня это неприемлемо.
А как для безопасника, для меня это по барабану. я всегда буду делать с запасом. Лучше я сделаю один раз и надолго, чем потом буду переделывать когда перевалит за сотку. И не думаю что хоть озин безопасник будет цепляться за эту границу.
Цитата

персональные данные, нарушение конфиденциальности которых может повлечь насильственную смерть субъекта
Полагаю, речь идёт о тайне следствия, дознания и судопроизводства. Так вот это защищается либо как служебная информация ограниченного распространения, либо в некоторых случаях как государственная тайна.
Страницы: 1
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)