Специалисты по ИБ: Медведевские требования по защите персональных данных невыполнимы
Эксперты по информационной безопасности без энтузиазма встретили подписание Дмитрием Медведевымновых нормативов обработки персональных данных, содержащихся в постановлении главы правительства носит №1119.
Управляющий партнер агентства «Емельянников, Попова и партнеры» Михаил Емельянников напоминает, что постановление №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» содержит «характерные для последних регламентирующих документов в области информационной безопасности вообще и персональных данных в частности проблемы и недостатки».
Оно активно критиковалось специалистами-практиками еще на этапах подготовки документа, обсуждения и оценки регулирующего воздействия, однако, мнение профессионалов так и не было услышано, сожалеет эксперт.
Напомним, что постановление №1119 было подписано Дмитрием Медведевым 1 ноября 2012 г.
«Содержание постановления не соответствует требованиям ФЗ «О персональных данных», - говорит эксперт. Этот закон поручал правительству установить уровни защищенности персональных данных при их обработке в информационных системах и требования, исполнение которых обеспечивает установленные уровни защищенности, в том числе с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которой обрабатываются персональные данные, актуальности угроз безопасности персональных данных. Однако, в постановлении не указаны способы и порядок учета возможного вреда субъекту и вида деятельности оператора при реализации защитных мер. Эта работа перекладывается на самого оператора, у которого, как правило, для этого нет ни специалистов, ни должного понимания вопроса.
«Медведевские» нормы по защите персональных данных столкнулись с жесткой критикой экспертов по ИБ
Массу вопросов вызывает используемая в «Требованиях» классификация возможных типов угроз безопасности в зависимости от наличия недекларированных возможностей (НДВ) в системном и прикладном программном обеспечении. При этом никаких требований к сертификации операционных систем и приложений, обрабатывающих персональные данные, ни в постановлении, ни в других нормативных актах не выдвигается, а средства защиты информации, даже и прошедшие оценку соответствия в форме обязательной сертификации, угрозы использования злоумышленником недекларированных возможностей (НДВ) никак не нейтрализуют и нейтрализовать не могут. В чем тогда смысл выделения именно этих типов угроз и как с ними бороться, остается непонятным, удивляется Емельянников.
Само понятие недекларированных возможностей для абсолютного большинства операторов является непонятным, и совершенно неясно, как они будут самостоятельно оценивать актуальность для себя подобных угроз. Сомнительным представляется радикальное влияние на безопасность персональных данных таких предлагаемых постановлением мер, как назначение должностного лица или создание структурного подразделения, ответственных за обеспечение безопасности персональных данных в информационной системе. Как это скажется на возможности нейтрализации угроз использования недекларированных возможностей операционных систем и приложений, по мнению эксперта, совершенно не ясно.
«Требования оперируют терминами, определения которых отсутствуют. Так, непонятно, что подразумевается под электронным журналом сообщений (п.15 требований) и электронным журналом безопасности (п.16 требований). Это одни и те же журналы или разные? Если речь идет о логах, то о каких – операционной системы, приложений, средств защиты информации? Всех или части из них? Ответов на эти вопросы в документе нет», - продолжает Емельянников.
Не используется в российском законодательстве, в том числе в трудовом, термин «сотрудники оператора», Постановлением это понятие вводится, но не дается его определение.
Постановление вводит отсутствующее в законе 152-ФЗ понятие «общедоступные персональные данные», к тому же сводящие их только к указанным в ст.8 (общедоступные источники). Сведения, подлежащие опубликованию и обязательному раскрытию, под эту категорию не подпадают, как и сведения из ЕГРЮЛ и ЕГРИП, являющиеся общедоступными в соответствии с Федеральным законом о государственной регистрации юрлиц и индивидуальных предпринимателей. Как быть с ними, опять остается неясным.
Ранее ИБ-эксперт Алексей Лукацкий в своем блоге выражал тревогу, что при соблюдении буквы постановления становится незаконным использование мобильных устройств для персональных данных: даже для минимального уровня защищенности постановление устанавливает режим безопасности, при котором планшет с персональными данными должен находиться в помещении, куда посторонние не имеют доступа.
Таким образом, становится невозможным использование планшетов и других мобильных устройств сотрудниками ГИБДД, таможенниками или врачами, работающими вне особых особо охраняемых помещений. Кроме того, под вопросом оказывается возможность организации точек продаж в торговых или дилерских центрах, то есть вне офиса организации, где она могла бы обеспечить предписываемый законом уровень защищенности персональных данных.
«Не могу не согласиться с Алексеем Лукацким в том, что «Требования» фактически запрещают использовать для обработки персональных данных мобильные устройства вне контролируемой оператором территории», - говорит Михаил Емельянников.
Документ содержит обязательное для всех уровней защищенности требование о таком режиме безопасности помещений, в которых размещена информационная система, при котором невозможно проникновение или пребывание в них посторонних лиц. Между тем любой современный мобильный телефон или коммуникатор – это уже информационная система персональных данных, не говоря уже о планшетах и ноутбуках, замечает эксперт.
Наконец, говорит эксперт, постановление сможет заработать в полном объеме только после принятия соответствующих актов ФСБ, ФСТЭК , предусмотренных ч.4 ст.19 152-ФЗ, а также федеральными органами исполнительной власти, осуществляющими функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органов государственной власти субъектов Российской Федерации, Банка России, органов государственных внебюджетных фондов, иных государственных органов в части определения актуальных угроз безопасности персональных данных (ч.5 ст.19 152-ФЗ, п.2 Требований), которые отсутствуют и неизвестно когда будут приняты.
До принятия дополнительных актов оператору персональных данных практически невозможно выполнить требования, установленные постановлением №1119, резюмирует эксперт.
Источник: http://safe.cnews.ru/news/top/index.shtml?2012/11/07/508894
Дайджест новых статей по интернет-маркетингу на ваш email
Новые статьи и публикации
- 2024-11-26 » Капитан грузового судна, или Как начать использовать Docker в своих проектах
- 2024-11-26 » Обеспечение безопасности ваших веб-приложений с помощью PHP OOP и PDO
- 2024-11-22 » Ошибки в Яндекс Вебмастере: как найти и исправить
- 2024-11-22 » Ошибки в Яндекс Вебмастере: как найти и исправить
- 2024-11-15 » Перенос сайта на WordPress с одного домена на другой
- 2024-11-08 » OSPanel 6: быстрый старт
- 2024-11-08 » Как установить PhpMyAdmin в Open Server Panel
- 2024-09-30 » Как быстро запустить Laravel на Windows
- 2024-09-25 » Next.js
- 2024-09-05 » OpenAI рассказал, как запретить ChatGPT использовать содержимое сайта для обучения
- 2024-08-28 » Чек-лист: как увеличить конверсию интернет-магазина на примере спортпита
- 2024-08-01 » WebSocket
- 2024-07-26 » Интеграция с Яндекс Еда
- 2024-07-26 » Интеграция с Эквайринг
- 2024-07-26 » Интеграция с СДЕК
- 2024-07-26 » Интеграция с Битрикс-24
- 2024-07-26 » Интеграция с Travelline
- 2024-07-26 » Интеграция с Iiko
- 2024-07-26 » Интеграция с Delivery Club
- 2024-07-26 » Интеграция с CRM
- 2024-07-26 » Интеграция с 1C-Бухгалтерия
- 2024-07-24 » Что такое сторителлинг: техники и примеры
- 2024-07-17 » Ошибка 404: что это такое и как ее использовать для бизнеса
- 2024-07-03 » Размещайте прайс-листы на FarPost.ru и продавайте товары быстро и выгодно
- 2024-07-01 » Профилирование кода в PHP
- 2024-06-28 » Изучаем ABC/XYZ-анализ: что это такое и какие решения с помощью него принимают
- 2024-06-17 » Зачем вам знать потребности клиента
- 2024-06-11 » Что нового в работе Яндекс Метрики: полный обзор обновления
- 2024-06-11 » Поведенческие факторы ранжирования в Яндексе
- 2024-06-11 » Скорость загрузки сайта: почему это важно и как влияет на ранжирование
Великие умы обсуждают идеи, средние - обсуждают поступки, а малые - людей Индийская пословица |
Мы создаем сайты, которые работают! Профессионально обслуживаем и продвигаем их , а также по всей России и ближнему зарубежью с 2006 года!
Как мы работаем
Заявка
Позвоните или оставьте заявку на сайте.
Консультация
Обсуждаем что именно Вам нужно и помогаем определить как это лучше сделать!
Договор
Заключаем договор на оказание услуг, в котором прописаны условия и обязанности обеих сторон.
Выполнение работ
Непосредственно оказание требующихся услуг и работ по вашему заданию.
Поддержка
Сдача выполненых работ, последующие корректировки и поддержка при необходимости.