вторник, 26 июля 2011 г.
Изменения в ФЗ «О персональных данных»
Как сообщает kremlin.ru, президент подписал Федеральный закон «О внесении изменений в Федеральный закон «О персональных данных».
Федеральный закон принят Государственной Думой 5 июля 2011 года и одобрен Советом Федерации 13 июля 2011 года.
Федеральным законом уточняются сфера действия Федерального закона «О персональных данных», используемые в нём основные понятия, принципы и условия обработки персональных данных. Существенно переработаны действующие законодательные нормы, касающиеся трансграничной передачи персональных данных, мер по обеспечению безопасности персональных данных при их обработке, прав и обязанностей оператора, взаимоотношений оператора и субъекта персональных данных.
Федеральный закон принят Государственной Думой 5 июля 2011 года и одобрен Советом Федерации 13 июля 2011 года.
Федеральным законом уточняются сфера действия Федерального закона «О персональных данных», используемые в нём основные понятия, принципы и условия обработки персональных данных. Существенно переработаны действующие законодательные нормы, касающиеся трансграничной передачи персональных данных, мер по обеспечению безопасности персональных данных при их обработке, прав и обязанностей оператора, взаимоотношений оператора и субъекта персональных данных.
пятница, 1 июля 2011 г.
Вступил в силу Закон № 152-ФЗ
C сегодняшнего дня окончательно вступают в силу требования Федерального закона №152-ФЗ «О персональных данных». Начиная с 01.07.2011 все юридические лица должны обеспечивать безопасность персональных данных при их обработке в информационных системах с использованием технических средств защиты информации.
четверг, 26 мая 2011 г.
К вопросу применимости СТР-К для определения требований к защите персональных данных в государственных ИСПДн
Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К) – нормативно-методический документ Федеральной службы по техническому и экспортному контролю Российской Федерации (ФСТЭК РФ).
Чтобы определить правовой статус данного документа, обратимся к Федеральному закону от 27.12.2002 N 184-ФЗ "О техническом регулировании".
Ст. 3., п. 3. Федеральные органы исполнительной власти (к которым относится ФСТЭК РФ) вправе издавать в сфере технического регулирования акты только рекомендательного характера, за исключением случаев, установленных статьями 5 и 9.1 настоящего Федерального закона.
Ст. 5. Особенности технического регулирования в отношении оборонной продукции (работ, услуг), поставляемой по государственному оборонному заказу, продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции (работ, услуг), сведения о которой составляют государственную тайну, продукции (работ, услуг) и объектов, для которых устанавливаются требования, связанные с обеспечением ядерной и радиационной безопасности в области использования атомной энергии, процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения указанной продукции и указанных объектов.
Очевидно, что рассматриваемая ситуация подпадает под действие Статьи 5 Федерального закона от 27.12.2002 N 184-ФЗ "О техническом регулировании", т.к. персональные данные относятся к информации ограниченного доступа в соответствии с Федеральным законом N 152-ФЗ от 27.07.2006 «О персональных данных».
Таким образом, СТР-К является обязательным к исполнению нормативным актом.
Рассмотрим область применения СТР-К.
Ст. 2.3. Цитата взята из открытых источников
Требования и рекомендации настоящего документа распространяются на защиту государственных информационных ресурсов некриптографическими методами, направленными на предотвращение утечки защищаемой информации по техническим каналам, от несанкционированного доступа к ней и специальных воздействий на информацию в целях ее уничтожения, искажения, блокирования.
Что в понятии законодателя является государственным информационным ресурсом? Обратимся к Федеральному закону N 149-ФЗ от 27.07.2006 «Об информации, информационных технологиях и о защите информации», являющемуся основополагающим нормативным актом в области информационных технологий.
В документе обозначен переход от понятия государственная информационная система (ГИС) к понятию государственный информационный ресурс (ГИР).
Ст. 13. п. 1. Информационные системы включают в себя:
1) государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов;
2) муниципальные информационные системы, созданные на основании решения органа местного самоуправления;
3) иные информационные системы.
Ст. 15. п.9 Информация, содержащаяся в государственных информационных системах, а также иные имеющиеся в распоряжении государственных органов сведения и документы являются государственными информационными ресурсами.
Что касается п.п. 3 п.1 статьи 3 «иные информационные системы», то следует обратиться к постатейному комментарию к Федеральному закону от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" А.Н. Королева и О.В. Плешаковой. Из комментариев следует, что под иными информационными системами Законодатель подразумевает системы, операторами которых являются таможенные органы.
Исходя из вышеизложенного, следует, что СТР-К применимы к государственным информационным системам (муниципальным информационным системам), которые созданы на основании законов или иных правовых актов.
Кроме того, очевидно, что после вступления в силу Федерального закона N 152-ФЗ от 27.07.2006 «О персональных данных», персональные данные выделаются в отдельный пласт защищаемой информаций со своей нормативной базой. Следовательно, документами, определяющими требования к защите некриптографическими методами персональных данных в ИСПДн, являются подзаконные акты данного закона, а именно:
- Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
- Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) Федеральной службы безопасности Российской Федерации (ФСБ России) Министерства информационных технологий и связи Российской Федерации (Мининформсвязи России) от 13 февраля 2008 г. N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».
- Приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных».
- «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена ФСТЭК 15.02.2008 г.
- «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена ФСТЭК 15.02.2008 г.
Вывод: в подавляющем большинстве случаев для определения требований к защите некриптографическими методами персональных данных в государственных ИСПДн СТР-К неприменимы. Однако в случае, если информационная система создана на основании правового акта государственного органа, то выполнение СТР-К обязательно.
Требования по выполнению требований СТР-К применительно к информационным системам, в установленном порядке не признанными государственными в соответствии с Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", в том числе по проведению аттестации ИСПДн, по состоянию на 26.05.2011, необоснованны и носят РЕКОМЕНДАТЕЛЬНЫЙ характер.
Чтобы определить правовой статус данного документа, обратимся к Федеральному закону от 27.12.2002 N 184-ФЗ "О техническом регулировании".
Ст. 3., п. 3. Федеральные органы исполнительной власти (к которым относится ФСТЭК РФ) вправе издавать в сфере технического регулирования акты только рекомендательного характера, за исключением случаев, установленных статьями 5 и 9.1 настоящего Федерального закона.
Ст. 5. Особенности технического регулирования в отношении оборонной продукции (работ, услуг), поставляемой по государственному оборонному заказу, продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции (работ, услуг), сведения о которой составляют государственную тайну, продукции (работ, услуг) и объектов, для которых устанавливаются требования, связанные с обеспечением ядерной и радиационной безопасности в области использования атомной энергии, процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения указанной продукции и указанных объектов.
Очевидно, что рассматриваемая ситуация подпадает под действие Статьи 5 Федерального закона от 27.12.2002 N 184-ФЗ "О техническом регулировании", т.к. персональные данные относятся к информации ограниченного доступа в соответствии с Федеральным законом N 152-ФЗ от 27.07.2006 «О персональных данных».
Таким образом, СТР-К является обязательным к исполнению нормативным актом.
Рассмотрим область применения СТР-К.
Ст. 2.3. Цитата взята из открытых источников
Требования и рекомендации настоящего документа распространяются на защиту государственных информационных ресурсов некриптографическими методами, направленными на предотвращение утечки защищаемой информации по техническим каналам, от несанкционированного доступа к ней и специальных воздействий на информацию в целях ее уничтожения, искажения, блокирования.
Что в понятии законодателя является государственным информационным ресурсом? Обратимся к Федеральному закону N 149-ФЗ от 27.07.2006 «Об информации, информационных технологиях и о защите информации», являющемуся основополагающим нормативным актом в области информационных технологий.
В документе обозначен переход от понятия государственная информационная система (ГИС) к понятию государственный информационный ресурс (ГИР).
Ст. 13. п. 1. Информационные системы включают в себя:
1) государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов;
2) муниципальные информационные системы, созданные на основании решения органа местного самоуправления;
3) иные информационные системы.
Ст. 15. п.9 Информация, содержащаяся в государственных информационных системах, а также иные имеющиеся в распоряжении государственных органов сведения и документы являются государственными информационными ресурсами.
Что касается п.п. 3 п.1 статьи 3 «иные информационные системы», то следует обратиться к постатейному комментарию к Федеральному закону от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" А.Н. Королева и О.В. Плешаковой. Из комментариев следует, что под иными информационными системами Законодатель подразумевает системы, операторами которых являются таможенные органы.
Исходя из вышеизложенного, следует, что СТР-К применимы к государственным информационным системам (муниципальным информационным системам), которые созданы на основании законов или иных правовых актов.
Кроме того, очевидно, что после вступления в силу Федерального закона N 152-ФЗ от 27.07.2006 «О персональных данных», персональные данные выделаются в отдельный пласт защищаемой информаций со своей нормативной базой. Следовательно, документами, определяющими требования к защите некриптографическими методами персональных данных в ИСПДн, являются подзаконные акты данного закона, а именно:
- Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
- Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) Федеральной службы безопасности Российской Федерации (ФСБ России) Министерства информационных технологий и связи Российской Федерации (Мининформсвязи России) от 13 февраля 2008 г. N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».
- Приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных».
- «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена ФСТЭК 15.02.2008 г.
- «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена ФСТЭК 15.02.2008 г.
Вывод: в подавляющем большинстве случаев для определения требований к защите некриптографическими методами персональных данных в государственных ИСПДн СТР-К неприменимы. Однако в случае, если информационная система создана на основании правового акта государственного органа, то выполнение СТР-К обязательно.
Требования по выполнению требований СТР-К применительно к информационным системам, в установленном порядке не признанными государственными в соответствии с Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", в том числе по проведению аттестации ИСПДн, по состоянию на 26.05.2011, необоснованны и носят РЕКОМЕНДАТЕЛЬНЫЙ характер.
четверг, 23 декабря 2010 г.
iPhone и персональные данные. Интересно.
Смартфоны, включая iPhone, передают личные данные третьим лицам.
Как установили журналисты американской газеты The Wall Street Journal, некоторые из самых популярных приложений, разработанных для смартфонов, включая iPhone и смартфоны, работающие на платформе Andriod, нарушают правила конфиденциальности личной информации пользователей.
«Ваши телефоны не хранят ваши секреты», – пишут авторы расследования, в ходе которого, в частности, стало известно, что музыкальное приложение для iPhone рассылает частные данные клиентов по крайней мере 8 посторонним компаниям: семь из них получают точные координаты местонахождения пользователя, 3 – номер его телефона, а также имя человека, на которого была оформлена покупка смартфона и прочую информацию.
Проверка 101 приложения для смартфонов, начиная с игр и заканчивая программным обеспечением, установила, что 56 из них передают конфиденциальную информацию пользователей третьим лицам.При этом, 5 приложений из 101, сообщали заказчикам о возрасте, поле, имени и других персональных данных владельца смартфона.
Ранее журналисты WSJ проводили расследование деятельности подобных приложений в социальной сети Facebook, которое показало, что программы передают личную информацию пользователей рекламным компаниям и интернет-трекерам, которые используют ее, главным образом, для рассылки спама.
«Газета.Ru»
Как установили журналисты американской газеты The Wall Street Journal, некоторые из самых популярных приложений, разработанных для смартфонов, включая iPhone и смартфоны, работающие на платформе Andriod, нарушают правила конфиденциальности личной информации пользователей.
«Ваши телефоны не хранят ваши секреты», – пишут авторы расследования, в ходе которого, в частности, стало известно, что музыкальное приложение для iPhone рассылает частные данные клиентов по крайней мере 8 посторонним компаниям: семь из них получают точные координаты местонахождения пользователя, 3 – номер его телефона, а также имя человека, на которого была оформлена покупка смартфона и прочую информацию.
Проверка 101 приложения для смартфонов, начиная с игр и заканчивая программным обеспечением, установила, что 56 из них передают конфиденциальную информацию пользователей третьим лицам.При этом, 5 приложений из 101, сообщали заказчикам о возрасте, поле, имени и других персональных данных владельца смартфона.
Ранее журналисты WSJ проводили расследование деятельности подобных приложений в социальной сети Facebook, которое показало, что программы передают личную информацию пользователей рекламным компаниям и интернет-трекерам, которые используют ее, главным образом, для рассылки спама.
«Газета.Ru»
среда, 11 августа 2010 г.
Особенности работы в Тульском регионе
В мае 2008 года когда на первом семинаре, посвященном вопросам информационной безопасности в нашем городе, организованном ООО «Кредо-С», я выступал с вопросом защиты персональных данных, люди не знали о принятом законе вообще ничего, хотя к тому времени он был принят более года назад. Это говорило о крайне низкой информированности населения о данном Законе, да и наверно, о принимаемых законах вообще. Да что там говорить, даже регуляторы к тому времени еще не выпустили пресловутого «четырехкнижия». Тогда мы «щупали» рынок, и презентация, как и ожидалось, не произвела большого впечатления, вызвав лишь недоумения. Гораздо больше интереса и вопросов вызвала презентация приглашенного нами Юрия Маслова из «Крипто-ПРО» про юридически значимый электронный документооборот.
Даже в мае 2009 года, когда уже окончательно вырисовалась потребность в хоть какой-то КОНКРЕТНОЙ информации в области 152-ФЗ, когда администрация области начала рассылать «подшефным» письма о необходимости реализации требований закона, общая информированность оставалась низкой. Тогда мы провели уже специализированный семинар по вопросам защиты персональных данных, который стал также первым подобным семинаром в нашем регионе. Нам удалось пригласить представителя Россвязькомнадзора по Тульской области, что стало дополнительным стимулом привлечения посетителей, коими стало более 100 человек.
В сентябре 2009 года, когда мы провели второй семинар, а также организовали несколько курсов совместно с «Академией информационных систем» обучив более 40 специалистов по вопросам защиты персональных данных, можно было отметить, что информированность выросла многократно – нам уже сами звонили с просьбами проконсультировать.
Потом случилось, что ФСТЭК по ЦФО совершил плановый «наезд» на регион с целью узнать ситуацию, складывающуюся в области защиты персональных данных, чем наделал много шума в органах исполнительной власти. Это же время еще было ознаменовано активным началом «ломанием копий» по поводу закона на уровне регуляторов, министерств и серьезных банков.
Таким образом, только к концу 2009 года, когда до вступления в силу закона оставались считанные месяцы (тогда еще о переносе сроков не знали), можно было сказать, что люди в курсе проблемы. Тогда же, осенью, я принял участие еще в двух семинарах, организованных другими организациями.
За это время я слышал очень много позиций людей по поводу необходимости выполнения закона. Все они имеют право на существование, учитывая кризис в стране, дефицит регионального бюджета и «разруху в головах». Немного остановлюсь на позиция государственных учреждений. «Когда нам скажут делать это сверху, тогда мы и будем это делать». Известный российский подход, который до сих пор является приоритетным. В регионах он доведен до абсурда. Люди просто боятся проявлять инициативу.
Подводя итоги, скажу, что сегодня о проблематике защиты персональных данных в нашем регионе знают почти все крупные операторы персональных данных. Опять же быстро появились другие лицензиаты, которые тоже ведут работу и подогревают интерес к проблеме. Но мы горды тем, что явились «пионерами» в этом вопросе в нашем регионе и надеемся, что и дальше будем развиваться в этом направлении и приносить пользу.
Надеюсь, что этот краткий экскурс о развитии ситуации по проблематике защиты персональных данных в небольшом дотационном регионе будет кому-то интересен.
Даже в мае 2009 года, когда уже окончательно вырисовалась потребность в хоть какой-то КОНКРЕТНОЙ информации в области 152-ФЗ, когда администрация области начала рассылать «подшефным» письма о необходимости реализации требований закона, общая информированность оставалась низкой. Тогда мы провели уже специализированный семинар по вопросам защиты персональных данных, который стал также первым подобным семинаром в нашем регионе. Нам удалось пригласить представителя Россвязькомнадзора по Тульской области, что стало дополнительным стимулом привлечения посетителей, коими стало более 100 человек.
В сентябре 2009 года, когда мы провели второй семинар, а также организовали несколько курсов совместно с «Академией информационных систем» обучив более 40 специалистов по вопросам защиты персональных данных, можно было отметить, что информированность выросла многократно – нам уже сами звонили с просьбами проконсультировать.
Потом случилось, что ФСТЭК по ЦФО совершил плановый «наезд» на регион с целью узнать ситуацию, складывающуюся в области защиты персональных данных, чем наделал много шума в органах исполнительной власти. Это же время еще было ознаменовано активным началом «ломанием копий» по поводу закона на уровне регуляторов, министерств и серьезных банков.
Таким образом, только к концу 2009 года, когда до вступления в силу закона оставались считанные месяцы (тогда еще о переносе сроков не знали), можно было сказать, что люди в курсе проблемы. Тогда же, осенью, я принял участие еще в двух семинарах, организованных другими организациями.
За это время я слышал очень много позиций людей по поводу необходимости выполнения закона. Все они имеют право на существование, учитывая кризис в стране, дефицит регионального бюджета и «разруху в головах». Немного остановлюсь на позиция государственных учреждений. «Когда нам скажут делать это сверху, тогда мы и будем это делать». Известный российский подход, который до сих пор является приоритетным. В регионах он доведен до абсурда. Люди просто боятся проявлять инициативу.
Подводя итоги, скажу, что сегодня о проблематике защиты персональных данных в нашем регионе знают почти все крупные операторы персональных данных. Опять же быстро появились другие лицензиаты, которые тоже ведут работу и подогревают интерес к проблеме. Но мы горды тем, что явились «пионерами» в этом вопросе в нашем регионе и надеемся, что и дальше будем развиваться в этом направлении и приносить пользу.
Надеюсь, что этот краткий экскурс о развитии ситуации по проблематике защиты персональных данных в небольшом дотационном регионе будет кому-то интересен.
понедельник, 21 июня 2010 г.
Подписаться на:
Сообщения (Atom)