Полiт.ua Государственная сеть Государственные люди Войти
27 мая 2018, воскресенье, 04:32
Facebook Twitter VK.com Telegram

НОВОСТИ

СТАТЬИ

АВТОРЫ

ЛЕКЦИИ

PRO SCIENCE

СКОЛКОВО

РЕГИОНЫ

18 января 2013, 22:41

О защите и о «защите» персональных данных

Фото: interrex.com.pl
Фото: interrex.com.pl

13 декабря 2012 года консультативный совет при Роскомнадзоре одобрил проект приказа об утверждении перечня зарубежных стран, не являющихся сторонами Конвенции Совета Европы «О защите личности в связи автоматической обработкой персональных данных», но адекватно защищающих персональные данные. Тем самым было выполнено требование Закона о защите персональных данных, и теперь все компании обязаны внести изменения в процедуры их обработки.

Критерии попадания стран в список достаточно просты и соответствуют требованиям Европейского союза, закрепленным в документе рабочей группы по защите прав частных лиц применительно к обработке персональных данных, принятом 24 июля 1998 года. Считается, что государство, не являющееся стороной Конвенции Совета Европы, обеспечивает адекватную защиту прав субъектов персональных данных, если в нем действуют соответствующие нормы права, осуществляет деятельность уполномоченный орган и обеспечивается правовая защита граждан в сфере персональных данных.

Таким образом, в список стран, общение с которыми не требует от оператора персональных данных принятия специальных мер, попали страны Совета Европы (согласно данным Роскомнадзора— 26 стран), а также Австралия, Аргентина, Израиль, Канада Марокко, Малайзия, Мексика, Монголия, Новая Зеландия, Ангола, Бенин, Кабо-Верде, Республика Корея, Перу, Сенегал, Тунис, Чили, Специальный административный район Гонконг Китайской Народной Республики и Швейцария.

Как видно из списка, в число стран с адекватной защитой не попали такие государства, как США, Япония, Индия, Китай, Украина и Турция, в то время как с ними активно работают очень многие компании. Не вошли в список и любимые всеми «туристические» страны — Египет, Тайланд, Мальдивы.

Это, естественно, не означает, что с ними теперь нельзя работать, но взаимодействие усложнится — как минимум потребуется письменное согласие субъекта. Хуже всего придется компаниям, размещающим свои серверы и базы данных в «несписочных» странах — им потребуется своими силами обеспечить защиту данных в соответствии с законом. В принципе можно, конечно, переехать, скажем, в Анголу или Кабо-Верде, но есть серьезные сомнения в том, что многие на это пойдут.

Состав списков может вызвать удивление, но, как ни странно, не все плохо только в нашей стране.

Возьмем для примера США и рассмотрим, как относятся к защите персональных данных здесь, где разработано большинство технологий, имеющих отношение к информационной безопасности.

Как ни странно, в отличие от большинства ведущих стран мира, в Соединенных Штатах Америки до сих пор отсутствует общефедеральное законодательство, касающееся защиты персональных данных. Имеющиеся акты (а их всего два - Privacy Act of 1974  и Privacy Protection Act of 1980) являются обязательными только для государственных организаций — частные компании могут воспользоваться этими рекомендациями, а могут и не воспользоваться. В случае нарушения прав субъектов персональных данных применяется практика прецедентного права.

Но даже действующие законодательные акты, регулируют далеко не все вопросы, касающиеся персональных данных. Поэтому, подобно тому, как в Российской Федерации в дополнение к закону о персональных данных действую приказы ФСТЭК и ФСБ, конкретизирующие требования законов ним действуют, в США в качестве рекомендаций по порядку обеспечения защиты данных применяются документы Национального института стандартов и технологий (NIST - National Institute of Standards and Technology). В частности, область защиты персональных данных описывает выпущенное NIST «Руководство по защите персональных данных» (SP 800-122), проект которого вышел в свет в январе 2009 (полный текст на англ. здесь, сокращенный русский перевод здесь). Этот документ содержит только самые общие рекомендации. При этом он помогает правильно задействовать нормативно-правовые акты внутреннего законодательства США, в которых отражены различные организационные, технические, юридические аспекты защиты данных и даже содержит примеры, в соответствии с которыми могут действовать организации.

Это достаточно хороший подход, которого так недостает нашим законодательным актам, из-за чего последние регулярно вызывают множество вопросов в области их правоприменения. Подход SP 800-122 коренным образом отличается от документов Правительства России (ПП 1119) и приказов ФСТЭК, которые фактически являются перечислением возможных средств и методов защиты с одним единственным требованием – использовать сертифицированные средства защиты. В США идут иным путем.

В американском документе первым требованием к защите данных является постоянное обучение сотрудников нормам безопасной работы с данными, тогда как у нас, как следует из документов правительства, в первую очередь следует обзавестись замком на двери в серверную.

А ведь совсем не секрет, что не исправность замков, а безразличие сотрудников к вопросам безопасности, непонимание ими важности соблюдения установленных правил и является основной причиной утечек информации. Сотрудники как правило не понимают ценности той информации, к которой они имеют доступ, не говоря уж о массовом безосновательном доверии их к своим контактам.

Обученные сотрудники должны знать:

  • как распознать персональные данные;
  • каковы требования законодательства;
  • какие существуют ограничения на сбор, хранение и использование персональных данных;
  • какова их ответственность и каковы их обязанности;
  • как можно безопасно обрабатывать ПДн;
  • как поступать в случае обнаружения нарушений, связанных с обработкой и защитой персональных данных;

А у нас пока сотрудники не всегда могут даже распознать персональные данные. Про знание требований законодательства вообще молчу.

Вторым требованием рекомендаций NIST является необходимость разработки политики в области обработки персональных данных (а не просто набора правил) создания процедур, описывающих

  • порядок доступа к персональным данным;
  • правила хранения персональных данных;
  • порядок реагирования на инциденты и устранения их последствий;
  • ограничения на сбор, раскрытие, передачу и использование персональных данных;

И все эти процедуры должны поддерживаться и развиваться!

Еще одним серьезным отличием американской инструкции являются рекомендации по минимизации используемых данных и их обезличиванию (то есть обработке и хранению в форме, не позволяющей идентифицировать субъекта). У нас таких просто нет, тогда как именно эти рекомендации позволяют вообще отказаться от многих средств зашиты и упростить множество процедур. Казалось бы простая мысль: если нельзя вычленить информацию о человеке, то и защищать ее куда проще. Но многие ли наши компании ее понимают?

И только после описания необходимого списка процедур и уровня знаний у американцев идут меры по защите:

  • Управление доступом
  • Аудит событий
  • Авторизация и идентификация пользователей
  • Маркировка, хранение и перемещение носителей информации
  • Защита при передаче информации (в том числе шифрование)
  • Мониторинг информационной системы

И это все! Желающие могут сравнить с проектом приказа ФСТЭК «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». 

Совершенно иной подход американского законотворчества можно только приветствовать – он идет от процедур к мерам по защите. Меры по защите не возводятся в самоценный абсолют. Совершенно логично – минимизируем защищаемые данные – определяем процедуры их обработки - и только потом распределяем права доступа и контролируем ход процедур. Только в этом случае меря по защите становятся эффективны. В приказах ФСТЭК присутствуют требования по наличию технических мер защиты – но любые меры защиты будут обойдены теми, кто не понимает, зачем их соблюдать.

Есть конечно в американском подходе и существенная ложка дегтя - требование по описанию процедур, их поддержанию, обучению пользователей нереализуемы для большинства компаний мелкого и среднего бизнеса – там просто нет ни специалистов соответствующего профиля, ни денег на их содержание.

Конечно, система защиты персональных данных в США не является безупречной. Атака на Всемирный торговый центр существенно изменила отношение к персональным данным в этой стране, законы которй теперь ставят своей целью не защиту неприкосновенности персональных данных, а максимальную открытость баз данных для скорейшего получения доступа к ним спецслужб. Кроме того, во многих штатах допускается мониторинг поведения сотрудников (естественно, только с их согласия) не только на работе, но и в нерабочее время. Этим, видимо, и объясняется включение США в список стран, не обеспечивающих адекватную защиту персональных данных.

Но об этом нужно задуматься еще и нашим гражданам, чиновникам и компаниям, активно использующим Twitter, создающим группы в Facebook, пользующимся почтой Google.Mail и хранящим данные в датацентрах за океаном.

Уже скоро, 28 января, во всем мире (а значит, и в нашей стране) будет отмечаться Международный день защиты персональных данных. Хороший повод вспомнить, что уровень защиты НАШИХ персональные данных от НАС.

Обсудите в соцсетях

Система Orphus
Loading...

Главные новости

21:12 Итальянский футболист убил бывшую девушку
20:44 Абэ назвал срок подписания мирного договора РФ и Японии
20:28 Рогозин провел сеанс связи Кремля с МКС
19:30 Disney вынужден назвать Пятачка Хрюней из-за авторских прав
18:46 Порвавшего картину Репина вандала не смогли арестовать из-за паспорта
18:25 Песков рассказал о страхе перед Путиным
17:24 Россия сделала Турции 10,25-процентную скидку на газ
16:51 Путин впервые встретился с новым составом правительства
16:42 Собянин объявил о решении бороться за пост мэра Москвы
15:50 Сборная РФ по футболу прошла допинг-контроль в Австрии
15:15 Генсек НАТО назвал дату переговоров с Россией
14:50 Главы КНДР и Южной Кореи провели вторые переговоры
14:39 Зампред ЦБ РФ назвала условия признания платежей в криптовалюте
14:13 В Москве побит рекорд по высоте атмосферного давления
14:05 Футбольных хулиганов «с репутацией» не пустят на игры ЧМ-2018
13:56 Адвокат Винника собрался судиться с правоохранительными органами РФ
13:00 Обвиняемый по делу «Зимней вишни» глава МЧС Кузбасса заплакал в суде
11:37 Третьяковка созвала реставраторов спасать порванную вандалом картину Репина
11:19 Расходы РФС на сборные команды вышли за рамки бюджета
10:55 Кабмин предложил увеличить расходы ПФР более чем на 90 млрд рублей
10:39 В Марселе неизвестные убили двух человек из автоматов Калашникова
10:08 Посетитель Третьяковки повредил шедевр Репина
09:32 Власти Украины предупредили народ о возможном подорожании газа на 70%
09:20 Главе кузбасского МЧС предъявили обвинение в халатности и растрате
25.05 20:56 Полиция и Росгвардия опробовали щит с электрошоком
25.05 20:08 Умерла вторая из трех выживших при крушении Boeing 737 на Кубе
25.05 19:57 Путин отказался от третьего срока
25.05 19:49 Глава МВФ призвала «переосмыслить» антироссийские санкции
25.05 19:33 Минобороны отчиталось об увольнении «Ориона»
25.05 19:11 Минфин США разрешил получать доход по приобретенным до санкций обязательствам
25.05 18:51 Минфин пообещал закон об офшорных зонах в ближайшее время
25.05 18:21 Вайнштейна отпустили под залог в 1 млн долларов
25.05 18:02 Сергей Шнуров объявил о разводе с женой
25.05 17:48 Посольство РФ потребовало от Британии извинений за Скрипалей
25.05 17:30 Путин вступился за Иран
25.05 17:09 Вайнштейна официально обвинили в изнасиловании
25.05 17:07 Мужчина взял заложников в McDonald's в Великобритании
25.05 16:46 Путин проведет первую встречу с новым правительством РФ
25.05 16:40 Трамп объявил о возобновлении обсуждения встречи с Ким Чен Ыном
25.05 16:25 Путин предупредил об угрозе невиданного мирового кризиса
25.05 16:21 Facebook и Google получили иски на миллионы евро из-за новых правил ЕС
25.05 16:03 Путин сообщил о подготовке изменений в налоговую систему
25.05 15:41 Силуанов предупредил министров о личной ответственности за реформы
25.05 15:41 Кинопроизводители пригрозили «Яндекс» и Google исками за пиратство
25.05 15:35 Крупное здание греко-римской эпохи найдено к северу от Каира
25.05 15:14 Глава Минтруда поддержал предложение о корпоративных пенсиях
25.05 15:13 Путин раскрыл интимную тайну мировой экономики
25.05 14:56 Харви Вайнштейн арестован
25.05 14:34 Почти все опрошенные россияне рады Крымскому мосту
25.05 13:53 Исследователи вычислили офицера «Ориона» из дела о гибели MH17
Apple Bitcoin Boeing Facebook Google iPhone IT NATO PRO SCIENCE видео ProScience Театр Pussy Riot Twitter Абхазия аварии на железной дороге авиакатастрофа Австралия Австрия автопром администрация президента Азербайджан акции протеста Александр Лукашенко Александр Турчинов Алексей Кудрин Алексей Навальный Алексей Улюкаев алкоголь амнистия Анатолий Сердюков Ангела Меркель Антимайдан Антон Силуанов Аргентина Аркадий Дворкович Арктика Армения армия Арсений Яценюк археология астрономия атомная энергия аукционы Афганистан Аэрофлот баллистические ракеты банковский сектор банкротство Барак Обама Басманный суд Башар Асад Башкирия беженцы Белоруссия Белый дом Бельгия беспилотник беспорядки биатлон бизнес биология бокс болельщики «болотное дело» большой теннис Борис Немцов борьба с курением Бразилия Валентина Матвиенко вандализм Ватикан ВВП Великая Отечественная война Великобритания Венесуэла Верховная Рада Верховный суд взрыв взятка видеозаписи публичных лекций «Полит.ру» визовый режим Виктор Янукович вирусы Виталий Мутко «ВКонтакте» ВКС Владивосток Владимир Жириновский Владимир Маркин Владимир Мединский Владимир Путин ВМФ Внуково военная авиация Волгоград ВТБ Вторая мировая война вузы ВЦИОМ выборы выборы губернаторов выборы мэра Москвы Вячеслав Володин гаджеты газовая промышленность «Газпром» генетика Генпрокуратура Германия ГИБДД ГЛОНАСС Голливуд гомосексуализм госбюджет Госдеп Госдума госзакупки гражданская авиация Греция Гринпис Грузия гуманитарная помощь Дагестан Дальний Восток декларации чиновников деньги День Победы дети Дмитрий Медведев Дмитрий Песков Дмитрий Рогозин доллар Домодедово Дональд Трамп Донецк допинг дороги России драка ДТП Евгения Васильева евро Евровидение Еврокомиссия Евромайдан Евросоюз Египет ЕГЭ «Единая Россия» Екатеринбург ЕСПЧ естественные и точные науки ЖКХ журналисты Забайкальский край закон об «иностранных агентах» законотворчество здравоохранение в России землетрясение «Зенит» Израиль инвестиции Ингушетия Индия Индонезия инновации Интервью ученых интернет инфляция ипотека Ирак Ирак после войны Иран Иркутская область искусство ислам «Исламское государство» Испания история История человечества Италия Йемен Казань Казахстан казнь Калининград Камчатка Канада Кемерово Киев Ким Чен Ын кино Киргизия Китай климат Земли КНДР Книга. Знание Компьютеры, программное обеспечение Конституционный суд Конституция кораблекрушение коррупция Космодром Байконур космодром Восточный космос КПРФ кража Краснодарский край Красноярский край кредиты Кремль крушение вертолета Крым Ксения Собчак Куба культура Латвия ЛГБТ ЛДПР Левада-Центр легкая атлетика Ленинградская область лесные пожары Ливия лингвистика Литва литература Лондон Луганск Малайзия Мария Захарова МВД МВФ медиа медицина междисциплинарные исследования Мексика Мемория метро мигранты МИД России Минздрав Минкомсвязи Минкульт Минобороны Минобрнауки Минпромторг Минсельхоз Минтранспорта Минтруд Минфин Минэкономразвития Минэнерго Минюст «Мистраль» Михаил Саакашвили Михаил Ходорковский МКС мобильные приложения МОК Молдавия монархия Мосгорсуд Москва Московская область мошенничество музыка Мурманская область МЧС наводнение Надежда Савченко налоги нанотехнологии наркотики НАСА наука «Нафтогаз Украины» недвижимость некоммерческие организации некролог нефть Нигерия Нидерланды Нобелевская премия Новосибирск Новые технологии, инновации Новый год Норвегия Нью-Йорк «Оборонсервис» образование обрушение ОБСЕ общественный транспорт общество ограбление Одесса Олимпийские игры Ольга Голодец ООН ОПЕК оппозиция опросы оружие отставки-назначения офшор Павел Дуров Пакистан палеонтология Палестинская автономия Папа Римский Париж ПДД педофилия пенсионная реформа Пентагон Петр Порошенко пищевая промышленность погранвойска пожар полиция Польша похищение Почта России права человека правительство Право правозащитное движение православие «Правый сектор» преступления полицейских преступность Приморский край Продовольствие происшествия публичные лекции Рамзан Кадыров РАН Революция в Киргизии Реджеп Эрдоган рейтинги реклама религия Республика Карелия Реформа армии РЖД ритейл Росавиация Роскомнадзор Роскосмос «Роснефть» Роспотребнадзор Россельхознадзор Российская академия наук Россия Ростов-на-Дону Ростовская область РПЦ рубль русские националисты РФС Санкт-Петербург санкции Саудовская Аравия Сахалин Сбербанк Свердловская область связь связь и телекоммуникации Севастополь сельское хозяйство сепаратизм Сербия Сергей Лавров Сергей Нарышкин Сергей Полонский Сергей Собянин Сергей Шойгу Сирия Сколково Славянск Следственный комитет следствие смартфоны СМИ Совбез ООН Совет по правам человека Совет Федерации сотовая связь социальные сети социология Сочи Сочи 2014 «Спартак» спецслужбы «Справедливая Россия» спутники СССР Ставропольский край стихийные бедствия Стихотворения на случай страхование стрельба строительство суды суицид Счетная палата США Таджикистан Таиланд тарифы Татарстан театр телевидение телефонный терроризм теракт терроризм технологии Трансаэро транспорт туризм Турция тюрьмы и колонии убийство уголовный кодекс УЕФА Узбекистан Украина фармакология ФАС ФБР Федеральная миграционная служба физика Филиппины Финляндия ФИФА фондовая биржа фоторепортаж Франсуа Олланд Франция ФСБ ФСИН ФСКН футбол Хабаровский край хакеры Харьков Хиллари Клинтон химическое оружие химия хоккей хулиганство цензура Центробанк ЦИК ЦРУ ЦСКА Челябинская область Чехия Чечня ЧМ-2018 Швейцария Швеция школа шоу-бизнес шпионаж Эбола эволюция Эдвард Сноуден экология экономика экономический кризис экстремизм Эстония этология Южная Корея ЮКОС Юлия Тимошенко ядерное оружие Якутия Яндекс Япония

Редакция

Электронная почта: politru.edit1@gmail.com
Адрес: 129090, г. Москва, Проспект Мира, дом 19, стр.1, пом.1, ком.5
Телефон: +7 495 980 1894.
Яндекс.Метрика
Свидетельство о регистрации средства массовой информации
Эл. № 77-8425 от 1 декабря 2003г. Выдано министерством
Российской Федерации по делам печати, телерадиовещания и
средств массовой информации. Выходит с 21 февраля 1998 года.
При любом использовании материалов веб-сайта ссылка на Полит.ру обязательна.
При перепечатке в Интернете обязательна гиперссылка polit.ru.
Все права защищены и охраняются законом.
© Полит.ру, 1998–2014.