четверг, 7 апреля 2011 г.

Персонаьные Данные — наступила весна…

Наконец то наступила долгожданная весна. На календаре второе марта и солнышко на улице понемногу начало согревать. Весной, как известно, мир расцветает, птички поют, и во всем появляется что то новое.

А что нового появилось в области персональных данных?

Не желая лишних проблем связанных с оформлением кип документов и финансовыми тратами, операторы приняли выжидательную позицию, мирно согревая себя мыслью о том что зоркий взор известных с выше не ляжет на их головы ссылаясь на указанный ФСТЭК план проверок в котором организаций не много да и «мелких рыб» не числится. Лицензиаты ждут прихода регуляторов, которые в свою очередь то же мирно ждут первого июля.

Я довольно часто слышу мнение — «нас это не коснется» или «у нас нечего защищать», однако в интернете появляется все больше новостей о проверках, проводимых ФСТЭК по России, а так же о штрафах в результате таких проверок.

К примеру:

Из материала: anti-malware.ru

Потеряв 21 анкету для получения гражданского паспорта Идентификационная и паспортная служба (ИПС) Великобритании получила от Управления по информационной безопасности (УИБ) лишь строгий выговор.
По словам главы надзорного отдела УИБ Мика Горрила, управление было обеспокоено этим происшествием, однако благосклонно отнеслось к организации, поскольку надлежащие меры для предотвращения подобных инцидентов в будущем были предприняты достаточно быстро.

Заметим, что это не первый случай необычного благосклонного отношения Управления по информационной безопасности к государственным учреждениям, допустившим утечку конфиденциальной информации. Так, например, за утерю 1 700 записей горожан, муниципалитеты Илинга и Ханслоу выплатили совершенно незначительные штрафы. А вот полицейскому департаменту графства Гуэнт и вовсе получило предупреждение за то, что один из сотрудников отправил 10 000 записей с данными журналисту.

Или еще интереснее: webplanet.ru

Неизвестный доброжелатель «слил» 9-гигабайтный снимок базы данных фарма-партнёрки GlavMed анти-спамерам. База содержит все персональные данные и транзакции за три года по аффилиатам и конечным клиентам как собственно «ГлавМеда», так и его спамерского сателлита SpamIt.

Как заверяет журналист, данные выглядят весьма достоверно. Помимо прочего, в базе содержатся ники, номера ICQ, email-адреса и банковские реквизиты «некоторых наиболее отъявленных хакеров и спамеров Интернета». Всего в базе содержатся данные о более чем 2,500 партнеров «Главмеда».

А так же из материалов: http://ispdn.ru/

Прокуратурой Центрального района Волгограда и Управлением Роскомнадзора по Волгоградской области была проведена совместная проверка в целях рассмотрения обращения гражданина в отношении оператора, предоставляющего телекоммуникационные услуги, ЗАО «ЭР-Телеком Холдинг».

В ходе проверки было установлено нарушение требований части 1 статьи 6 Федерального закона «О персональных данных», выразившееся в незаконной передаче персональных данных для взыскания задолженности коллекторским агентствам, а именно передачи персональных данных без согласия физического лица. Прокуратурой в отношении ЗАО «ЭР-Телеком Холдинг» возбуждено административное производство по ст. 13.11. КоАП РФ, административный материал направлен в мировой суд.

Мировой суд признал виновным ЗАО «ЭР-Телеком Холдинг» в совершении административного правонарушения, предусмотренного ст. 13.11. КоАП РФ и назначил административное наказание в виде штрафа в размере 5000 рублей.

А теперь зададимся вопросом, почему же операторы персональных данных не боятся ответственности? На мой взгляд в данной ситуации дело в возможности реализации требований ФЗ-152 «О персональных данных» - операторами. А так же в несущественных, скорее даже символических суммах штрафов за неисполнение требований и конечно же бытовая российская лень.

С 2010 года приказом ФСТЭК были отменены два документа, обязывающие операторов принимать дорогостоящие меры к защите персональных данных — тоесть к проведению аттестации ИСПД.

Примечание :

Информационная система персональных данных (ИСПДн) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

У опероторов появилась возможность самим оценивать защищенность систем - проведя декларирование. Однако Декларирование, это форма подтверждения соответствия продукции требованиям технических регламентов. Что же получается? Оператор имеет право собственными силами, а главное бесплатно провести мероприятия по оценке защищенности ИСПДн и создать документ, подтверждающий защищенность системы.

Однако юридическая возможность такого подхода отсутствует ввиду отсутствия технического регламента. Но необходимость подтверждения соответствия систем защиты ИСПДн требованиям по безопасности никуда не исчезла. Она осталась и коварно выжедает дня Икс. А он известен — 1 июля 2011 года. На форуме http://ispdn.ru/ даже введен счетчик времени отсчитывающий время до оного момента.

Что же остается операторам? Вновь вернуться к мероприятиям по аттестации и привлечению третьей стороны — Лицензиата? На данный вопрос мы пока не получили ответа.

До сих пор идут споры — стоит ли проводить аттестацию Автоматизированных систем и Объекта информатизации согласно требованиям по безопасности конфиденциальной информации, если в организации обрабатываются персональные данные. Некоторые Лицензиаты отвечают на этот вопрос таким образом : Стоит, в силу того, что ПДн — относятся к конфиденциальной информации. Кто то имеет несколько иное мнение — стоит, в силу того, что иного метода подтверждения соответствия пока что нет. Что касается операторов, как я и говорил выше — многие считают что вопрос подтверждения соответствия решать еще рано.



В любом случае день Икс прояснит все интересующие стороны вопроса…

Комментариев нет:

Отправить комментарий