Депутаты не решились отключить ФСБ от персональных данных Опции

[NewsBot]

Государственная Дума приняла в третьем, окончательном чтении поправки к закону "О персональных данных" (152-ФЗ), уточняющие ряд его понятий. Наибольшая интрига разгорелась вокруг 19 статьи "Меры по обеспечению безопасности персональных данных при их обработке", новая редакции которой была принята в двух различных вариантах в первом и втором чтениях поправок. Именно эта статья является наиболее...

Читать статью на CNews

Сосут как с разработчиков софта, так и с его пользователей. Вот такой сосуд. ©

Если учитывать, что "сертификация" в принципе не сертифицируемого софта типа вендов делается с закрытыми глазами за хорошего барашка, то ситуация становится совсем возмутительной.

Да давно уже пора навести порядок в этой области. Сами операторы видят только выгоду и не хотят заботиться о безопасности данных, пусть их хотя бы заставят платить за это, или так попинают. Системы для хранения данных хранят эти данные в открытом виде, по большей части. Я уж не говорю о паролях, которые если не в открытом виде, то в виде простеньких хэшей. А кое-кто даже не заботится о безопасной передаче этих данных, гоняя пароль в открытую.

"Кроме того, отдельный пункт статьи гласил, что оператор персональных данных и субъект этих данных (физическое лицо) могут сами договориться о принимаемых мерах защиты."

Ага, договориться, как же. Максимум это вывесили бы на сайтике изменение в пользовательском соглашении о том, что теперь вся вина по утере информации лежит на пользователе, мол, сам заботься.

"Правительство также может определить перечь информационных систем, не относящихся к государственным и муниципальным, контроль за защитой информации в которых будут осуществлять ФСБ и ФСТЭК."

В первую очередь это социалки. Сами хозяева там не могут навести порядок, значит надо прислать туда пару человек в погонах для разъяснения.

"Принятая редакция статьи 19 также налагает на операторов персональных данных ряд дополнительных требований: использовать сертифицированные средства защиты, "

Да хоть бы какие-нибудь использовали.

"оценивать эффективность используемых мер защиты до ввода информационной системы в эксплуатацию, "

Правильно, а то "сначала наберем базу, а потом повесим ssl, пожалуй и хватит.

"устанавливать правила доступа к персональным данным и производить регистрацию всех действий с ними,"

Да-да, а по программист/администратор Вася тихонько залез в базу и слил оттуда инфу про недруга.

"обеспечивать восстановление информация в случае ее несанкционированного удаления."

Главное - обеспечить возможность полного удаления таких данных по запросу субъекта.

"Если закон в таком виде вступит в силу, всем компаниям, обрабатывающим данные о физических лицах, придется смоделировать угрозы для соответствующих систем и внедрить комплекс технических мер защиты."

Боюсь сначала надо будет смоделировать приход регуляторов в офисы этих самых компаний.

”Российским операторам персональных данных законопроект навязывает требования по защите данных, ранее содержавшиеся в подзаконных и ведомственных нормативных актах ФСТЭК и ФСБ, которые абсолютно не учитывают современные тенденции развития информационного общества"

Современные тенденции это как у Сони? Софт с дырками и пароли с кредитками в открытом виде?

"Слегка ”подкорректированные” методы и способы защиты государственной тайны 20-летней давности стали обязательными для 7 миллионов операторов персональных данных”

Что-то я не вспомню ни одной серьезной гос.тайны открытой в течение последних 20 лет. Может стандарты не так уж плохи? В данном случае лучше вообще от интернета отключать, если оператор не может безопасность обеспечить.

"Далее эксперты отмечают, что операторы с большой вероятностью переложат расходы на субъектов персданных."

Регистрация в соцсетях на сайтах станет платной?

"По мнению его авторов создаются предпосылки для вывода информационных систем за пределы России в страны Евросоюза"

Радоваться надо, маски-шоу не приедут.

”где требования к защите персональных данных учитывают современные тенденции и обеспечивают баланс интересов оператора и субъекта”

Там есть требования??? Сразу вспоминаются многочисленные взломы требовательных Сони и Сеги.

"Подписанты просят президента отклонить законопроект, направить его на общественные слушания и доработку."

Подписантов хочется попросить не быть полными подписантами и что-нибудь сделать, а не писульки писать.

Так правильно говорят - вообще-то хорошо быть богатым и здоровым, а не бедным и больным.
Только вот не у всех получается...
Да, здорово будет, когда у банка будет всё защищено. А не здорово, что при этом у него кредиты станут дороже, а депозиты дешевле. И так повсюду.
Вопрос, господа Знатоки.
Кто заплатит за эту дополнительную безопасность?
Время пошло...

Да, здорово будет, когда у банка будет всё защищено. А не здорово, что при этом у него кредиты станут дороже, а депозиты дешевле. И так повсюду.

Вообще-то у банков и сейчас все более-менее с безопасностью. Репутация для банка залог здоровья.

Shadow_Of_Templar

Вообще-то у банков и сейчас все более-менее с безопасностью. Репутация для банка залог здоровья.

это только у части банков из первой сотни, плюс у дочек зарубежных банков.

Да, здорово будет, когда у банка будет всё защищено. А не здорово, что при этом у него кредиты станут дороже, а депозиты дешевле. И так повсюду.

Вообще-то у банков и сейчас все более-менее с безопасностью. Репутация для банка залог здоровья.

К сожалению не важно как обстоит дело с безопасностью у банка на самом деле. В любом случае по закону придется переделывать систему под требования ФСБ (которые на самом деле имеют мало общего с настоящей безопасностью). Надо будет разоряться на сертифицированное оборудование и лицензии (что в наших условия означает откаты соответствующим чиновникам). А оплачивать все эти "расходы" мы будем из своего кармана.

Вообще-то, руководствуясь здравым смыслом и логикой, при разработке софта и так всё это должно быть учтено без дополнительных палок со стороны контролирующих органов. Т.е. пароли в шифрованном виде, доступ к конфиденциальной информации на основании группового ключа/пароля. Четко делить публичную и не публичную информацию при регистрации. Это всё здраво и вполне работает. Разграничение прав на работу с данными у разных операторов. Это мягко говоря должно быть изначально.


По поводу банков, если у них сейчас не так, то стрелять, причем медленно и по конечностям.

Мир таков, если бизнес не будет хранить данные в недоступном месте, то этот бизнес далеко не пойдет(конкуренты не спят). Но в Рашке административный аппарат всех конкурентов давит.
А то что вы сами в соц сетях раздаете всю информацию, это только ваши проблемы.
Если создам сайт с гостевой книгой, а вы зайдете и начнете свои персональный данные оставлять - тоже сертификацию проходить?)

А вот обработка данных в госаппарате должна соответствовать каким то требованиям, потому как этим паразитам только плевать на людей, лишь бы деньги с казны шли.

Может надо разобраться в причинах, а уже потом думать что делать.

Если посмотреть кто вывозит капитал из страны, сколько % из них ФСБешников, получающих прибыль от таких сертификаций и продажи ЭКЛЗ?

"Непосредственно требования к защите информации устанавливают Федеральная служба безопасности (ФСБ) и Федеральная служба техническому и экспортному контролю (ФСТЭК), они же наделены правом контроля за выполнением этих требований. " Можно порадоваться за этих дармоедов - хорошие деньги на взятках и вымогательстве заработают.

Вообще-то, руководствуясь здравым смыслом и логикой, при разработке софта и так всё это должно быть учтено без дополнительных палок со стороны контролирующих органов. Т.е. пароли в шифрованном виде, доступ к конфиденциальной информации на основании группового ключа/пароля. Четко делить публичную и не публичную информацию при регистрации. Это всё здраво и вполне работает. Разграничение прав на работу с данными у разных операторов. Это мягко говоря должно быть изначально.


По поводу банков, если у них сейчас не так, то стрелять, причем медленно и по конечностям.

Как ни печально, но требования безопасности обычно ведут в снижению удобства пользования. И баланс между удобством и безопасностью каждый ранее выбирал сам.
Теперь же, всем будет одинаково неудобно.

Да давно уже пора навести порядок в этой области. Сами операторы видят только выгоду и не хотят заботиться о безопасности данных, пусть их хотя бы заставят платить за это, или так попинают.

ФСБ-кун детектед...

Системы для хранения данных хранят эти данные в открытом виде, по большей части. Я уж не говорю о паролях, которые если не в открытом виде, то в виде простеньких хэшей. А кое-кто даже не заботится о безопасной передаче этих данных, гоняя пароль в открытую.

Вы сначала попробуйте восстановить пароль из этого простенького хэша. И еще я вас огорчу: пароль не является "персональными данными", поскольку никого не идентифицирует.

В первую очередь это социалки. Сами хозяева там не могут навести порядок, значит надо прислать туда пару человек в погонах для разъяснения.

По-моему, затраты на защиту информации не должны быть больше, чем возможный ущерб, нанесенный утечкой этой информации. А в случае с "социалками" этот ущерб, скажем так, минимален.

Да-да, а по программист/администратор Вася тихонько залез в базу и слил оттуда инфу про недруга.

Боюсь, что аффтар слабо представляет, как происходят утечки информации. Большую их часть обеспечивают как раз "свои люди", и от "администратора Васи", который и так имеет доступ к информации, сертифицированная супер-пупер защита поможет слабо. Особенно если учесть, что функция этой защиты -- не защитить, а обеспечить кормушку "программистам", особо близким к.
Вспомните, кстати, ЕГАИС, которая поставила раком весь российский алкогольный рынок. И держит его в таком положении до сих пор, поскольку криворукие "погромисты" сначала "Атласа", а потом ФНС программы писать хронически не приучены.

Подписантов хочется попросить не быть полными подписантами и что-нибудь сделать, а не писульки писать.

Вы, парниша, сначала изучите матчасть и подумайте головой (верхней), к чему приведет исполнение этого недозакона. А потом писульки здесь пишите.

ФСБ-кун детектед...

Отаку детектед.

Вы сначала попробуйте восстановить пароль из этого простенького хэша. И еще я вас огорчу: пароль не является "персональными данными", поскольку никого не идентифицирует.

Погуглите на тему Rainbow tables это раз, а два можете заглянуть сюда и увидеть, что куча хэшей уже даже отбруфорсена.

По-моему, затраты на защиту информации не должны быть больше, чем возможный ущерб, нанесенный утечкой этой информации. А в случае с "социалками" этот ущерб, скажем так, минимален.

Вы сейчас так сразу за всех пользователей сказали? Однако самомнение ...

Боюсь, что аффтар слабо представляет, как происходят утечки информации. Большую их часть обеспечивают как раз "свои люди", и от "администратора Васи", который и так имеет доступ к информации, сертифицированная супер-пупер защита поможет слабо.

Боюсь что Вы себе слабо представляете что такое обеспечение безопасности, если понимаете это только как технические средства.

Особенно если учесть, что функция этой защиты -- не защитить, а обеспечить кормушку "программистам", особо близким к.

Если вы не можете сами обеспечить безопасность, то вас точно стоит "доить" до тех пор пока понимание не придет.

Вы, парниша, сначала изучите матчасть и подумайте головой (верхней), к чему приведет исполнение этого недозакона. А потом писульки здесь пишите.

Вы, парниша, сначала поучитесь общению, а затем хорошенько задумайтесь почему кому-то в голову пришла идея поставить регуляторами ФСБ и ФСТЭК. Уж точно не от хорошей жизни и, если, таким образом операторов заставят обеспечивать хоть какую-то безопасность, то я буду только рад, т.к. на данный момент "им это невыгодно".

Было бы очень просто, если бы операторами были только крупные банки, провайдеры и т.п. сильные игроки
Но к сожалению, операторами ПДн являются и очень мелкие организации
Зарплату все сотрудникам платят, кадры ведут учет (это как минимум)

И да, есть банковские АБС, многие из которых уже имели защитные механизмы и без ФЗ-152
Но есть и простые системы различного учета, в которых этих механизмов нет
Одно дело - защищать данные сотен тысяч людей, совсем иное - полтора десятка сотрудников небольшого, скажем автосервиса или турфирмы - примеров мелкого бизнеса - масса!

У них и админов порой нет в штате, а их придут закрывать не потому, что у них ПДн утекли, а потому, что у них нет нормативной документации (разработать которую не три копейки) и у них не обеспечена техзащита (те же ПЭМИН, наверное и в военке уже никто не учитывает)

Но текущая редакция ФЗ-152 говорит, что разницы нет
И крупняк и мелкий оператор должны защищать свои ПДн по той модели угроз, что ФСТЭК заготовил для всех
А она требует учитывать и ПЭМИН и прочие прелести, для мелкого бизнеса неподъемные

Более того, из-за упертости ФСБ,
замечательное оборудование, используемое всем миром - у нас использовать никак нельзя
Понять ФСБ можно - чужие железки содержат чужие криптоалгоритмы
Но почему-то весь мир не парится о том, что Cisco лидер в области железок VPN, а вот только у нас - это проблема!

Уж если большому банку порой очень сложно и дорого сертифицировать свои роутеры, то как вы себе представляете - каково это будет сделать мелкой автомастерской??
Да и крупняку все не так уж просто - регуляторы уперто заявляют - выкиньте свои железки, все, что ранее использовалось - на помойку
Покупайте новую сетевую инфраструктуру - ту, что мы соизволим сертифицировать и никакую иную
Выкиньте свое ПО для шифрования - ставьте только КриптоПро...
Т.е. во всех системах клиент-банк будьте добры заменить криптопровайдеры на сертифицированные
На кого ляжет эта покупка? Правильно!! на клиентов банков и прочих крупных операторов!

Во всем мире - сертификация - дело производителя
Он на свой продукт получил сертификат - я купил его продукт и не парюсь
И только у нас все через зад
Купил - иди сам сертифицируйся
И мой сосед через дорогу - купив у того же продавца - пойдет сертифицироваться так же сам
Зачем???
Ведь достаточно казалось бы взять сертификат у продавца...
но у России - свой путь
Мы... блин... не Европы!

И это далеко не все камни в этом варинте ФЗ-152
Поэтому, да, согласен! наводить порядок надо!
Но надо наводить его с умом
Иначе проблемы возникнут не у банков, не у крупных операторов - у них и так все хорошо давно

Проблемы возникнут у частников,
у детских садов, поликлиник, школ и яслей
у тех, кто не силах объяснить салдафонам из рядов регуляторов, что не вокруг каждого объекта надо обязательно и непременно строить железобетонный бункер

Поэтому, мальчики... если не в курсе о чем закон и в чем его проблемы
нефик поливать друг друга зазря

А еще можно более подробно вспомнить про медицинские учреждения, которые благодаря нашей "умной" классификации попали под К1 ! И это не банки с их финансовыми возможностями и уровнем К2 в среднем.

При этом если счастье компьютеризации медиков обходится в среднем 20-50 т.р. на рабочее место (включая железо), то защита в соответствии с ФЗ в 50-100 т.р. на рабочее место, причем это еще не все требования будут выполнены и потенциально будет к чему прикопаться.

И кто после этого будет внедрять ИТ технологии в медицине ?
Нет, существует, конечно, распространенное мнение, что у нас развал в медицине, денег не хватает и т.д. и т.п. , и нужно сначала заниматься не компьютеризацией а а зарплатами, оборудованием и всем прочим, а высокотехнологические игрушки оставить на совести г-на Медведева.
Но можно вспомнить, что компьютеры необходимы для УЗИ, томографии, лаборатории в конце концов. Кто согласен, чтобы ему анализы выдавали на 4-5 дней позже и была бы потенциальная возможность перепутать результат (не забываем, что даже на бумажных бланках есть как персональные, так и медицинские данные и их тоже надо либо защищать либо исключать) ? Найдется человек, который захочет, чтобы его обрадовали "А Вы ВИЧ положительны" а только потом, после повторного анализа "Ой, извините, мы Вам дали другой бланк" ?! Или вам на работе купили страховку, приходите в поликлинику и там говорят - "знаете, курьер еще бумагу на вас не принес" или просто "а мы не нашли бумаги" и лечить Вас не будут, приходите через неделю, так сказать !
Поэтому с одной стороны совсем без ИТ медикам жить тяжело а а "с" становится до безобразия дорого.

Защищать данные безусловно надо, но установите ЦЕЛЕСООБРАЗНЫЕ требования ! Материальную ответственность учреждения за утерю ПД в конце концов, чтобы каждый решал, что ему лучше - по судам таскаться или сделать как положено. А так всякая шелупонь пытается руки нагреть на этом законе, - деньги хотят, в специфике не понимают. Даже по прайсам на оборудование не в курсе, и что есть, например, компания "Информзащита" знают только по наслышке.

И лоббистов среди медицины нет, чтобы четко в законе указать, что "руководствоваться требованиями Минздравсоцразвития" например, по аналогии с требованиями ЦБ. А так - "а Вы на уровне гостайны, батенька". Видно данные о геморрое депутатов это наше все и их нужно защищать как зеницу ока.

Инфовотч отметился:
http://infowatch.livejournal.com/229659.html?view=4086299

Весьма хорошие слова:

Почему защиты требуют персональные данные? У нормальных специалистов данные сперва классифицируются и только потом некоторые их категории объявляются конфиденциальными. Персональные же данные никто ни на какие категории не делил. Их определение широко как русская душа. Защищать велено все подряд. И очень строго. Настолько строго, что иные банки со своей защитой не вписываются. Вот как! Весь город PCIDSS она удовлетворяет, а 152-ФЗ, видите ли, не удовлетворяет.

Подвергнуть защите в особо тяжёлых формах такую широкую категорию информации, как "персональные данные" для постороннего человека звучит примерно как "обязать запирать на замки все двери прямоугольной формы" или "носить намордники всем собакам чёрного цвета". И не надо кивать на международную конвенцию. Она придумана в седом 1981 году для охраны номеров кредитных карт. Она не мешает Норвегии публиковать данные о доходах и налогах всего населения. Она не мешает немцам выпускать телефонные справочники. А в США – вывешивать на сайтах полные анкеты судимых рецидивистов. А в России теперь даже приказ о премировании на доску вывесить нельзя.

Потому что не данные для Конвенции, а Конвенция – для данных.

Вся суета вокруг ЗоПД (и нынешних поправок тоже) с самого начала идёт по поводу того, кто будет выдавать справки с печатями. Один лоббист старается сделать так, чтоб выдачей справок ведал именно он, другой добивается права ставить согласование, третий хочет, чтоб справка обходилась ему подешевле, четвёртый настаивает на прозрачности правил выдачи. И все почему-то забыли о самой защите.

Инфовотч отметился:

А "мама" с Открытым письмом "почемуй-то" согласилась