Две новости с минимальным разрывом. Очень забавно вышло.
Операторы персональных данных вновь получили отсрочкуЗаконопроект "О внесении изменений в статью 25 Федерального закона "О персональных данных" (в части продления срока приведения ранее созданных информационных систем персональных данных в соответствие с требованиями Федерального закона "О персональных данных") принят Госдумой в первом чтении.http://www.securitylab.ru/news/400089.php
Россия: Сотовый оператор выложил в Сеть персональные данные абонентов
Дальневосточный оператор БИТ допустил утечку документов, в результате которой около года в открытом доступе находились персональные данные его 11 тыс. клиентов, а также данные о его обмене трафиком с другими операторами региона.
http://safe.cnews.ru/news/top/index.shtml?2010/12/09/419487
В последнем особенно позабавило
"Факт утечки был обнаружен экспертом по информационной безопасности Ильей Шабановым 8 декабря 2010 г. в результате регулярного мониторинга Сети. "
и
"Изучение документов, выложенных на ftp-сервере, позволило CNews ознакомиться с отчетностью, содержащей персональные данные более чем 11 тыс. абонентов БИТ."
Интересно, на каком основании Cnews осуществляет несанкционированный доступ к охраняемой законом информации и так спокойно об этом рассказывает. Или что-то изменилось у нас в законодательстве? Тот факт, что информация лежит на "открытом ftp" ничего не меняет.
И в конце, пользуюсь служебным положением, процитирую Дмитрия Кузнецова.
Как Вы расцениваете эффективность обсуждаемой сейчас очередной отсрочки (на полгода) вступления в силу требований к информационным системам, созданным до 2006 года? Действительно ли это позволит кому-то решить проблемы или же просто на полгода оттянет неизбежное?
В отличие от предыдущей отсрочки, данная отсрочка имеет исключительно технический характер. Сейчас Госдума готовится к рассмотрению во втором чтении законопроекта № 282499-5, который внесет очень существенные поправки в действующую редакцию, в том числе – в порядок государственного регулирования защиты персональных данных. Поэтому перенос сроков – ожидаемая мера, которая позволит операторам дождаться принятия этих поправок.
Если говорить о переносе сроков (особенно – прошлогоднем) как об “оттягивании неизбежного”, то такая постановка вопроса несправедлива ни по отношению к законодателю, ни по отношению к операторам. Скорее этот перенос свидетельствует о способности органов государственной власти не только совершать ошибки, но и признавать их. В августе 2007 г. Правительство выпустило распоряжение № 1055-р, поручив ФСБ и ФСТЭК в течение шести месяцев разработать требования по защите персональных данных. Таким образом, предполагалось, что с момента принятия требований у операторов будет два года на их выполнение. Впрочем, невыполнимость подобного распоряжения уже тогда была понятна специалистам, и дальнейшие события это подтвердили. Первые версии документов, выпущенные ведомствами, вызвали резкую критику со стороны профессионального сообщества и фактически так и не были введены в действие. Так что первый перенос сроков отчасти был вызван фактическим отсутствием на тот момент требований, которые должны были бы быть выполнены операторами. Действующие требования ФСТЭК появились только в феврале 2010 г., а требования по криптографической защите персональных данных не введены в действие и по сей день.
В настоящий момент всем хорошо понятно, что разработать единые требования для всех отраслей невозможно, и события развиваются по пути инициативной разработки отраслевых требований самими операторами (отраслевой стандарт Банка России, отраслевой стандарт операторов связи, ведомственные документы Минздравсоцразвитьия и т.п.). Есть надежда, что эта практика будет закреплена законодательно, и это позволит сдвинуть дело с мертвой точки.
Какую часть рисков, связанных с выполнением требований законодательства о ПДн, позволяют решить продукты и услуги Вашей компании, а какую часть работ заказчику неизбежно нужно решать самостоятельно?
В приказе ФСТЭК №58 от 05.02.2010, регулирующем методы защиты персональных данных, появилось одно важное на наш взгляд нововведение: оператор должен построить систему защиты персональных данных, но и контролировать ее, своевременно выявляя и устраняя недостатки в обеспечении безопасности, уязвимости, ошибки в конфигурации, которые неизбежно возникают в ходе эксплуатации любой информационной системы. Система контроля защищенности и соответствия стандартам MaxPatrol, разработанная нашей компанией и уже внедренная многими организациями, позволяет оператору самостоятельно реализовать и автоматизировать такой контроль для информационных систем любой сложности и любой территориальной распределенности с минимальными затратами человеческих ресурсов.
Еще одним направлением нашей деятельности является разработка технических стандартов, определяющих безопасную конфигурацию наиболее распространенных программ и программно-аппаратных платформ, используемых в основе многих информационных систем персональных данных. Не секрет, что требования методических документов по защите персональных данных достаточно общи, и далеко не всегда операторы способны оценить достаточность применяемых ими механизмов защиты. Использование наших стандартов в качестве связующего звена между методическими документами и фактически используемыми средствами защиты информационных систем позволит операторам и надзорным органам выработать одинаково понимаемые критерии оценки деятельности операторов по технической защите персональных данных.
Кроме того, ЗАО «Позитив Текнолоджиз» оказывает услуги по анализу защищенности информационных систем, помогая компаниям выявлять и устранять недостатки, которые могут использоваться злоумышленником для несанкционированного доступа к информационным системам. Эти услуги востребованы кредитными организациями, операторами связи, промышленными предприятиями и другими организациями, в деятельности которых информационные системы играют ключевую роль.
Испытываете ли Вы как поставщик услуг в сфере информационной безопасности какие-либо сложности и затруднения в связи с действующим законодательством в сфере ПДн (проблемы компаний - операторов ПДн понятны)? Если да, то в чем они проявляются?
Напротив, на сегодняшний день мы наблюдаем повышеный интерес компаний к вопросам информационной безопасности. Причем, если несолько лет назад одним из мотивов было соответствие формальным требованиям (будь то требования государственных регуляторов, ISO 27001 или PCI DSS), то сегодня на первое место ставятся имено практические аспекты защиты от фактически используемых методов атак. Складывается ощущение, что постоянно муссируемая тема защиты персональных данных заставляет руководство компаний задуматься над вопросами безопасности и более трезво оценивать готовность своих компаний к современным вызовам. И это не может не радовать.