english
 
 
 
 
Куплю ip адреса
Директор по строител...
Нужен канал 100 мбит...
Канал Колпино, пр. Л...
Поток E1 ул. Захарье...
Ripe не передает ip ...
Продам PA ip адреса
Пора продавать :(
Скотное-Вартемяги ?
Волокно СПБ - Всевол...
29.08.2016
Оператор как интергатор: Cisco тоже ставит на модель cloud computing
   Максим Репин, менеджер по развитию решений Cisco для совместной работы в России и СНГ рассказал IP-News о становлении облачного решения Cisco для операторов, развивающих унифицированные коммуникации

14.07.16 23:36:13


Дни рождения
24.05.1976
Мастертел, генеральный директор ЗАО «Мастертел».
Все персоналии
Персоналии
01.07.1975
Электроник Програм Сервис, Генеральный директор
06.05.1980
TimeWeb.ru, Генеральный директор
31.12.1985
WEBA - оптическая сеть, Исполнительный директор
Все персоналии

Интервью
30.12.2009
Глаза боятся - руки делают

2010 год даст операторам связи еще одну возможность привести свои информационные системы персональных данных в соответствие ФЗ № 152. Отсрочка на год была принята совсем недавно, а ИСПДн компаний, тем не менее, были еще далеки от требований Закона. Хватит ли на все это года, и с чего нужно начинать, рассказал член консультативного совета при Роскомнадзоре Юрий Шойдин.

IP-News: Интернет-провайдеры попадают под определение операторов персональных данных и, соответственно, должны привести свои ИСПДн в соответствие ФЗ № 152. Сейчас все игроки рынка телекоммуникаций находятся в некотором оцепенении. Чем мотивировать самих себя на первичные действия?

Юрий Шойдин: Судя по настрою регуляторов, выполнять требования ФЗ рано или поздно заставят. Одним из хороших мотивирующих факторов можно рассматривать принятые в 3-м чтении поправки к 19 и 22 статьям ФЗ, которые предполагают использование организационно-распорядительных документов, что снижает и в принципе не требует больших финансовых затрат операторов. По технической защите есть еще год, когда можно не торопясь и минимизировав затраты, привести свои ИСПДн в соответствие с требованиями. Ну и самый мотивирующий момент - это соблюдение Конституции РФ.

IP-News: С чего бы Вы порекомендовали начать практически?

Юрий Шойдин: С составления определенных законом документов. Только в этом случае появится понимание того, что и как нужно сделать, чтобы, с одной стороны, выполнить требования закона, а с другой, минимизировать свои расходы.

IP-News: Достаточно много разногласий касается подачи уведомления в Роскомнадзор. В каких случаях это делать необязательно, уместна ли здесь неоднозначная трактовка?

Юрий Шойдин: Статьей 6 ФЗ четко определено, в каких ситуациях подача уведомления не нужна. Если Вы не можете точно отнести себя к приведенным исключениям, то лучше уведомление все же подать. В сомнительной ситуации возможно обращение в соответствующее Вашему расположению территориальное управление Роскомнадзора.

Что касается расхожего мнения о том, что «если подать уведомление, то Вас сразу поставят в план проверок» - это далеко не так. Наоборот, под проверки будут попадать операторы, не подавшие своевременно уведомление.

IP-News: Одним из требований ФЗ также является уведомление субъекта ПД. Как известно, в ряде случаев это сделать невозможно. Как упростить данный процесс с новыми абонентами и что делать со «старыми», данные которых также обрабатываются?

Юрий Шойдин: На самом деле все механизмы известны и изобретать колесо ни к чему. Конечно, для каждой ситуации, наверное, будет необходимо подойти индивидуально, но в целом можно сказать, что использование механизма открытой оферты решает бо́льшую часть проблем.

В случае со «старыми» клиентами можно откорректировать условия предоставления услуги в момент перезаключения договора (они, как правило, годовые). Для бессрочных договоров, конечно, придется индивидуально решать ситуацию, но можно обратиться к опыту, который используют все крупные операторы.

IP-News: Какая информация и на каких носителях будет относиться к персональным данным, безопасность которых необходимо обеспечить?  

Юрий Шойдин: Не до конца четкое раскрытие термина «персональные данные», несомненно, дает повод по-разному интерпретировать набор информации, относящейся к ПДн. Но в Законе четко отмечено, что к ПДн относятся данные, по которым можно однозначно идентифицировать личность человека.

Для понимания ситуации в своей компании, прежде всего, необходимо выявить весь перечень ПДн, используемых во всех ИС компании, в том числе, не автоматизированных. Затем следует определить, к какой категории эти ПДн относятся. Вполне вероятно, что Ваша компания обрабатывает только открытые данные.

Что касается носителей, то в данном случае это не важно. Уполномоченный орган (Роскомнадзор) будет проверять правила хранения и обработки на любых носителях, в т.ч. бумажных. В части технической защиты ПДн, обрабатываемых в ИСПДн, проверять будет ФСТЭК РФ. Проверке будут подлежать все технические носители.

IP-News: При определении категории ПД существует ряд неоднозначных формулировок, например «дополнительная информация» или
«идентификация субъекта ПД». Что считать дополнительной информацией? Что значит «идентификация субъекта» – в каком случае субъект считается идентифицированным? Могут ли разночтения сыграть на руку или в ущерб оператору персональных данных при проверках?
   

Юрий Шойдин: Идентификация — установление тождественности неизвестного объекта известному на основании совпадения признаков, опознание.

Если подходить с точки зрения не «указать на конкретного человека», а отнести какие-либо данные к конкретному человеку (определенному или определяемому на основании такой информации), то паспорт не понадобится. Ведь речь идет не о том, чтобы Вы лично могли идентифицировать человека по его собственному желанию, а о том, чтобы конкретная запись в конкретной базе данных была привязана к конкретному человеку, определяемому по конкретным признакам. Например, если необходимо привязать сумму уплаченных налогов в базе данных налоговой службы к конкретному человеку, то одного ФИО будет не достаточно, а вот ФИО + ИНН однозначно укажут на нужного человека.

Если Вам станет доступна такая база данных, то с помощью нее будет возможно организовать поиск данных на нужного человека по известным Вам критериям, и ФИО тут будет также недостаточно. Вряд ли Вы будете требовать паспорт в такой ситуации.

Что касается ФИО + адрес, то, на наш взгляд, этого недостаточно для идентификации. Как минимум, необходима еще дата рождения.

Под дополнительной информацией, на наш взгляд, следует понимать любые сведения о субъекте персональных данных, не используемые для идентификации.

Разночтения в законодательстве, как правило, трактуются в пользу проверяемого. Однако, это правило действует только при защите своих прав в суде.

IP-News: Можно ли спрогнозировать, к какому классу будут относиться ПД оператора связи?

Юрий Шойдин: Не надо прогнозировать - надо прочитать руководящие документы и провести классификацию своей ИСПДн.

IP-News: Исходя из критериев классификации ИСПДн, операторы связи оперируют 3, 4 или 2-м классом. Какие в данном случае предъявляются требования к защите ПД?

Юрий Шойдин: Я бы сказал, что, скорее всего, ИСПДн оператора связи будет 2-го или 3-го класса. Требования формируются в зависимости от сформированной модели угроз. Для разных компаний это могут быть разные угрозы и, соответственно, разные требования к технической защите. Это достаточно индивидуальная работа, поскольку законодатель дал большие права операторам по самостоятельному определению своих систем.

IP-News: Как указано в Законе, операторы, которые располагают ИСПДн, относящейся к 1 и 2 классу должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации. При каких условиях такая лицензия будет получена? И в каких случаях выгоднее отдать эту функцию на аутсорсинг?

Юрий Шойдин: Лицензирование в этой области регулируется постановлением правительства от 2006 года № 504.

 

Лицензионными требованиями и условиями являются:
     а) наличие в штате соискателя лицензии (лицензиата) специалистов, имеющих высшее профессиональное образование в области технической защиты информации либо высшее или среднее профессиональное (техническое) образование и прошедших переподготовку или повышение квалификации по вопросам технической защиты информации;
     б) наличие у соискателя лицензии (лицензиата) помещений для осуществления лицензируемой деятельности, соответствующих техническим нормам и требованиям по технической защите информации, установленным нормативными правовыми актами Российской Федерации, и принадлежащих ему на праве собственности или на ином законном основании;
     в) наличие на любом законном основании производственного, испытательного и контрольно-измерительного оборудования, прошедшего в соответствии с законодательством Российской Федерации метрологическую поверку (калибровку), маркирование и сертификацию;
     г) использование автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;
     д) использование предназначенных для осуществления лицензируемой деятельности программ для электронно-вычислительных машин и баз данных на основании договора с их правообладателем;
     е) наличие нормативных правовых актов, нормативно-методических и методических документов по вопросам технической защиты информации в соответствии с перечнем, установленным Федеральной службой по техническому и экспортному контролю.


Привлечение сторонних организаций к проведению работ не снимает требования с самой организации по, как минимум, пунктам б, г, д. Экономическая выгода привлечения аутсорса рассчитывается в каждом конкретном случае индивидуально. Как правило, для оценки выгоды проводится сравнение суммарной стоимости обучения и содержания 2-ух специалистов в штате организации за определенный период (например год или 3 года) со стоимостью работ сторонней организации. При этом учитываются косвенные факторы, например, содержание специалиста – это не только заработная плата, но и налоги, в т.ч. НДС. Кроме того, НДС сторонней организации предъявляется к зачету, тем самым уменьшается сумма затрат.

Такое сравнение должно проводиться грамотным экономистом, имеющим представление об актуальных сроках окупаемости проектов в конкретной сфере.

IP-News: Можно ли спрогнозировать, будут ли ИСПДн оператора связи типовыми или для них потребуется разработка моделей угроз? Как и кто это определяет?
Опишите сценарии действий в обоих случаях.


Юрий Шойдин: Порядок отнесения систем к типовым регламентирован законодательством. «Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных».

В соответствии со ст. 19 Федерального закона от 2006 года №152-ФЗ: «Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий».

В соответствии со ст. 16 Федерального закона от 2006 года № 149:
«4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:
1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
2) своевременное обнаружение фактов несанкционированного доступа к информации;
3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
6) постоянный контроль за обеспечением уровня защищенности информации».

В соответствии с требованиями  постановлением правительства от 2007 года № 781:
«11. При обработке персональных данных в информационной системе должно быть обеспечено:
     а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
     б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;
     в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
     г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
     д) постоянный контроль за обеспечением уровня защищенности персональных данных».


Ну и с точки зрения здравого смысла, на рабочем месте все равно устанавливается антивирусник. Все это говорит о том, что типовые системы – это как идеальный газ. Теоретически существует, а практически нет.

Но не стоит на этом зацикливаться. Модель угроз должна строиться всеми в соответствии с постановлением правительства от 2007 года № 781: «Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз».

IP-News: Одна из поправок в ФЗ касается применения средств криптозащиты. Во всех ли случаях оператор ПД может исключить обязательное их применение?

Юрий Шойдин: Ответ на этот вопрос достаточно неодназначен. Для ответа на него необходимо строить модель угроз не только в соответствии с нормативными документами ФСТЭК, но и в  соответствии с нормативными документами ФСБ.

IP-News: Какие документы оператор ПД должен подготовить в конечном итоге?

Юрий Шойдин: Поражает всегда одно - исчерпывающий перечень документов приведен в нормативных актах, нужно только сесть и их прочитать. Для упрощения доступа к информации на открытом в сентябре 2009 Роскомнадзором «Портале персональных данных» есть все необходимое, но и этого никто не делает. Видимо все ждут прихода Деда Мороза, который в качестве подарка принесет аттестат Вашей ИСПДн.

IP-News: Как бы Вы оценили сегодняшнее состояние ИС операторов связи? Успеют ли они привести их в соответствие к 2011 году?

Юрий Шойдин:
С документарной стороны - все необходимое можно было уже сделать, так как эта операция не затратная ни по времени, ни по финансам. Что же касается технической стороны вопроса, то можно с уверенностью сказать, что большая часть ИС компаний создавалась по правильным принципам и на 80% может удовлетворять требованиям, нужно только грамотно ее описать и составить план необходимых дополнений. Надеюсь, что за 2010 год большая часть операторов сможет выполнить требования технической защиты ПДн.

К сожалению, я не знаю истинного положения дел у операторов связи, но, думаю, с началом нового года у меня будет информация по проведенным регуляторами мероприятиям и можно будет обсудить имеющуюся статистику.


Дарья Тренина


Обсудить в форуме



Просмотров: 8631


Новости spbIT.ru
О сайте | Регистрация
Copyright c 2002-2014. Сайт является средством массовой информации. 18+
При использовании материалов сайта необходима ссылка на источник в согласованном формате.
Создание сайта - NetExpert
Интернет-провайдеры Санкт-Петербурга