Интернет безопасность Специалисты по ИБ: Медведевские требования по защите персональных данных невыполнимыСпециалисты по ИБ: Медведевские требования по защите персональных данных невыполнимы
Эксперты по информационной безопасности без энтузиазма встретили подписание Дмитрием Медведевымновых нормативов обработки персональных данных, содержащихся в постановлении главы правительства носит №1119.
Управляющий партнер агентства «Емельянников, Попова и партнеры» Михаил Емельянников напоминает, что постановление №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» содержит «характерные для последних регламентирующих документов в области информационной безопасности вообще и персональных данных в частности проблемы и недостатки».
Оно активно критиковалось специалистами-практиками еще на этапах подготовки документа, обсуждения и оценки регулирующего воздействия, однако, мнение профессионалов так и не было услышано, сожалеет эксперт.
Напомним, что постановление №1119 было подписано Дмитрием Медведевым 1 ноября 2012 г.
«Содержание постановления не соответствует требованиям ФЗ «О персональных данных», - говорит эксперт. Этот закон поручал правительству установить уровни защищенности персональных данных при их обработке в информационных системах и требования, исполнение которых обеспечивает установленные уровни защищенности, в том числе с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которой обрабатываются персональные данные, актуальности угроз безопасности персональных данных. Однако, в постановлении не указаны способы и порядок учета возможного вреда субъекту и вида деятельности оператора при реализации защитных мер. Эта работа перекладывается на самого оператора, у которого, как правило, для этого нет ни специалистов, ни должного понимания вопроса.
«Медведевские» нормы по защите персональных данных столкнулись с жесткой критикой экспертов по ИБ
Массу вопросов вызывает используемая в «Требованиях» классификация возможных типов угроз безопасности в зависимости от наличия недекларированных возможностей (НДВ) в системном и прикладном программном обеспечении. При этом никаких требований к сертификации операционных систем и приложений, обрабатывающих персональные данные, ни в постановлении, ни в других нормативных актах не выдвигается, а средства защиты информации, даже и прошедшие оценку соответствия в форме обязательной сертификации, угрозы использования злоумышленником недекларированных возможностей (НДВ) никак не нейтрализуют и нейтрализовать не могут. В чем тогда смысл выделения именно этих типов угроз и как с ними бороться, остается непонятным, удивляется Емельянников.
Само понятие недекларированных возможностей для абсолютного большинства операторов является непонятным, и совершенно неясно, как они будут самостоятельно оценивать актуальность для себя подобных угроз. Сомнительным представляется радикальное влияние на безопасность персональных данных таких предлагаемых постановлением мер, как назначение должностного лица или создание структурного подразделения, ответственных за обеспечение безопасности персональных данных в информационной системе. Как это скажется на возможности нейтрализации угроз использования недекларированных возможностей операционных систем и приложений, по мнению эксперта, совершенно не ясно.
«Требования оперируют терминами, определения которых отсутствуют. Так, непонятно, что подразумевается под электронным журналом сообщений (п.15 требований) и электронным журналом безопасности (п.16 требований). Это одни и те же журналы или разные? Если речь идет о логах, то о каких – операционной системы, приложений, средств защиты информации? Всех или части из них? Ответов на эти вопросы в документе нет», - продолжает Емельянников.
Не используется в российском законодательстве, в том числе в трудовом, термин «сотрудники оператора», Постановлением это понятие вводится, но не дается его определение.
Постановление вводит отсутствующее в законе 152-ФЗ понятие «общедоступные персональные данные», к тому же сводящие их только к указанным в ст.8 (общедоступные источники). Сведения, подлежащие опубликованию и обязательному раскрытию, под эту категорию не подпадают, как и сведения из ЕГРЮЛ и ЕГРИП, являющиеся общедоступными в соответствии с Федеральным законом о государственной регистрации юрлиц и индивидуальных предпринимателей. Как быть с ними, опять остается неясным.
Ранее ИБ-эксперт Алексей Лукацкий в своем блоге выражал тревогу, что при соблюдении буквы постановления становится незаконным использование мобильных устройств для персональных данных: даже для минимального уровня защищенности постановление устанавливает режим безопасности, при котором планшет с персональными данными должен находиться в помещении, куда посторонние не имеют доступа.
Таким образом, становится невозможным использование планшетов и других мобильных устройств сотрудниками ГИБДД, таможенниками или врачами, работающими вне особых особо охраняемых помещений. Кроме того, под вопросом оказывается возможность организации точек продаж в торговых или дилерских центрах, то есть вне офиса организации, где она могла бы обеспечить предписываемый законом уровень защищенности персональных данных.
«Не могу не согласиться с Алексеем Лукацким в том, что «Требования» фактически запрещают использовать для обработки персональных данных мобильные устройства вне контролируемой оператором территории», - говорит Михаил Емельянников.
Документ содержит обязательное для всех уровней защищенности требование о таком режиме безопасности помещений, в которых размещена информационная система, при котором невозможно проникновение или пребывание в них посторонних лиц. Между тем любой современный мобильный телефон или коммуникатор – это уже информационная система персональных данных, не говоря уже о планшетах и ноутбуках, замечает эксперт.
Наконец, говорит эксперт, постановление сможет заработать в полном объеме только после принятия соответствующих актов ФСБ, ФСТЭК , предусмотренных ч.4 ст.19 152-ФЗ, а также федеральными органами исполнительной власти, осуществляющими функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органов государственной власти субъектов Российской Федерации, Банка России, органов государственных внебюджетных фондов, иных государственных органов в части определения актуальных угроз безопасности персональных данных (ч.5 ст.19 152-ФЗ, п.2 Требований), которые отсутствуют и неизвестно когда будут приняты.
До принятия дополнительных актов оператору персональных данных практически невозможно выполнить требования, установленные постановлением №1119, резюмирует эксперт.
Источник: http://safe.cnews.ru/news/top/index.shtml?2012/11/07/508894
|
Эксперты по информационной безопасности без энтузиазма встретили подписание Дмитрием Медведевымновых нормативов обработки персональных данных, содержащихся в постановлении главы правительства носит |
РэдЛайн, создание сайта, заказать сайт, разработка сайтов, реклама в Интернете, продвижение, маркетинговые исследования, дизайн студия, веб дизайн, раскрутка сайта, создать сайт компании, сделать сайт, создание сайтов, изготовление сайта, обслуживание сайтов, изготовление сайтов, заказать интернет сайт, создать сайт, изготовить сайт, разработка сайта, web студия, создание веб сайта, поддержка сайта, сайт на заказ, сопровождение сайта, дизайн сайта, сайт под ключ, заказ сайта, реклама сайта, хостинг, регистрация доменов, хабаровск, краснодар, москва, комсомольск |
Дайджест новых статей по интернет-маркетингу на ваш email
Новые статьи и публикации
- 2024-04-22 » Комментирование кода и генерация документации в PHP
- 2024-04-22 » SEO в России и на Западе: в чем основные отличия
- 2024-04-22 » SEO для международного масштабирования
- 2024-04-22 » Как использовать XML-карты для продвижения сайта
- 2024-04-22 » Цифровой маркетинг: инструменты для продвижения и рекламы в 2024 году
- 2024-04-22 » Что такое CSS-модули и зачем они нам?
- 2024-04-17 » 23 сервиса для эффективного экспресс-аудита любого сайта
- 2024-04-08 » Яндекс переходит на новую версию Wordstat
- 2024-04-08 » Яндекс интегрировал в свой облачный сервис эмпатичную нейросеть
- 2024-04-08 » Новая версия нейросети Claude превзошла по мощности аналоги Google и OpenAI
- 2024-04-08 » Как пользоваться GPT 4 и Claude бесплатно и без VPN
- 2024-03-13 » Стратегии SEO на 2024 год
- 2024-03-13 » Как использовать анимацию с помощью JavaScript-библиотеки GSAP
- 2024-03-13 » Использование GSAP 3 для веб-анимации
- 2024-03-13 » Cогласование топографической съёмки с эксплуатирующими организациями
- 2024-02-19 » Теряются лиды? Как настроить сквозную аналитику
- 2024-02-17 » Мерч и IT: на что обратить внимание в 2024 году
- 2024-02-16 » Копируем с RSync: основные примеры синхронизации файлов
- 2024-02-15 » Лучшие noCode AI платформы для создания диалоговых ботов
- 2024-02-14 » Факторы ранжирования Google 2024 — исследование Semrush
- 2024-02-12 » Перенос сайта на другой хостинг
- 2024-02-05 » В России сформирован реестр хостинг-провайдеров
- 2024-02-04 » Использование SSH для подключения к удаленному серверу Ubuntu
- 2024-02-03 » Подключаемся к серверу за NAT при помощи туннеля SSH. Простая и понятная инструкция
- 2024-02-02 » Настройка CI/CD для Gitlab-репозитория: схемы и гайд по шагам
- 2024-02-01 » GitLab CI Pipeline. Запуск сценария через SSH на удаленном сервере
- 2024-01-29 » Introduction to GitLab’s CI/CD for Continuous Deployments
- 2024-01-26 » Настройка GitLab CI/CD
- 2024-01-25 » Установка shell gitlab runner
- 2024-01-25 » Установка и регистрация gitlab-runner в docker контейнере
Люди обычно тратят свою жизнь на то, чтобы свести к минимуму потери, а не на то, чтобы привести к максимуму приобретения. |
Мы создаем сайты, которые работают! Профессионально обслуживаем и продвигаем их !
Как мы работаем
Заявка
Позвоните или оставьте заявку на сайте.
Консультация
Обсуждаем что именно Вам нужно и помогаем определить как это лучше сделать!
Договор
Заключаем договор на оказание услуг, в котором прописаны условия и обязанности обеих сторон.
Выполнение работ
Непосредственно оказание требующихся услуг и работ по вашему заданию.
Поддержка
Сдача выполненых работ, последующие корректировки и поддержка при необходимости.
Мы создаем практически любые сайты от продающих страниц до сложных, высоконагруженных и нестандартных веб приложений! Наши сайты это надежные маркетинговые инструменты для успеха Вашего бизнеса и увеличения вашей прибыли! Мы делаем красивые и максимально эффектные сайты по доступным ценам уже много лет!
Комплексный подход это не просто продвижение сайта, это целый комплекс мероприятий, который определяется целями и задачами поставленными перед сайтом и организацией, которая за этим стоит. Время однобоких методов в продвижении сайтов уже прошло, конкуренция слишком высока, чтобы была возможность расслабиться и получать \ удерживать клиентов из Интернета, просто сделав сайт и не занимаясь им...
Мы оказываем полный комплекс услуг по сопровождению сайта: информационному и техническому обслуживанию и развитию Интернет сайтов.
Контекстная реклама - это эффективный инструмент в интернет маркетинге, целью которого является увеличение продаж. Главный плюс контекстной рекламы заключается в том, что она работает избирательно.