Полiт.ua Государственная сеть Государственные люди Войти
8 декабря 2016, четверг, 08:59
Facebook Twitter LiveJournal VK.com RSS

НОВОСТИ

СТАТЬИ

АВТОРЫ

ЛЕКЦИИ

PRO SCIENCE

ТЕАТР

РЕГИОНЫ

18 января 2013, 22:41

О защите и о «защите» персональных данных

Фото: interrex.com.pl
Фото: interrex.com.pl

13 декабря 2012 года консультативный совет при Роскомнадзоре одобрил проект приказа об утверждении перечня зарубежных стран, не являющихся сторонами Конвенции Совета Европы «О защите личности в связи автоматической обработкой персональных данных», но адекватно защищающих персональные данные. Тем самым было выполнено требование Закона о защите персональных данных, и теперь все компании обязаны внести изменения в процедуры их обработки.

Критерии попадания стран в список достаточно просты и соответствуют требованиям Европейского союза, закрепленным в документе рабочей группы по защите прав частных лиц применительно к обработке персональных данных, принятом 24 июля 1998 года. Считается, что государство, не являющееся стороной Конвенции Совета Европы, обеспечивает адекватную защиту прав субъектов персональных данных, если в нем действуют соответствующие нормы права, осуществляет деятельность уполномоченный орган и обеспечивается правовая защита граждан в сфере персональных данных.

Таким образом, в список стран, общение с которыми не требует от оператора персональных данных принятия специальных мер, попали страны Совета Европы (согласно данным Роскомнадзора— 26 стран), а также Австралия, Аргентина, Израиль, Канада Марокко, Малайзия, Мексика, Монголия, Новая Зеландия, Ангола, Бенин, Кабо-Верде, Республика Корея, Перу, Сенегал, Тунис, Чили, Специальный административный район Гонконг Китайской Народной Республики и Швейцария.

Как видно из списка, в число стран с адекватной защитой не попали такие государства, как США, Япония, Индия, Китай, Украина и Турция, в то время как с ними активно работают очень многие компании. Не вошли в список и любимые всеми «туристические» страны — Египет, Тайланд, Мальдивы.

Это, естественно, не означает, что с ними теперь нельзя работать, но взаимодействие усложнится — как минимум потребуется письменное согласие субъекта. Хуже всего придется компаниям, размещающим свои серверы и базы данных в «несписочных» странах — им потребуется своими силами обеспечить защиту данных в соответствии с законом. В принципе можно, конечно, переехать, скажем, в Анголу или Кабо-Верде, но есть серьезные сомнения в том, что многие на это пойдут.

Состав списков может вызвать удивление, но, как ни странно, не все плохо только в нашей стране.

Возьмем для примера США и рассмотрим, как относятся к защите персональных данных здесь, где разработано большинство технологий, имеющих отношение к информационной безопасности.

Как ни странно, в отличие от большинства ведущих стран мира, в Соединенных Штатах Америки до сих пор отсутствует общефедеральное законодательство, касающееся защиты персональных данных. Имеющиеся акты (а их всего два - Privacy Act of 1974  и Privacy Protection Act of 1980) являются обязательными только для государственных организаций — частные компании могут воспользоваться этими рекомендациями, а могут и не воспользоваться. В случае нарушения прав субъектов персональных данных применяется практика прецедентного права.

Но даже действующие законодательные акты, регулируют далеко не все вопросы, касающиеся персональных данных. Поэтому, подобно тому, как в Российской Федерации в дополнение к закону о персональных данных действую приказы ФСТЭК и ФСБ, конкретизирующие требования законов ним действуют, в США в качестве рекомендаций по порядку обеспечения защиты данных применяются документы Национального института стандартов и технологий (NIST - National Institute of Standards and Technology). В частности, область защиты персональных данных описывает выпущенное NIST «Руководство по защите персональных данных» (SP 800-122), проект которого вышел в свет в январе 2009 (полный текст на англ. здесь, сокращенный русский перевод здесь). Этот документ содержит только самые общие рекомендации. При этом он помогает правильно задействовать нормативно-правовые акты внутреннего законодательства США, в которых отражены различные организационные, технические, юридические аспекты защиты данных и даже содержит примеры, в соответствии с которыми могут действовать организации.

Это достаточно хороший подход, которого так недостает нашим законодательным актам, из-за чего последние регулярно вызывают множество вопросов в области их правоприменения. Подход SP 800-122 коренным образом отличается от документов Правительства России (ПП 1119) и приказов ФСТЭК, которые фактически являются перечислением возможных средств и методов защиты с одним единственным требованием – использовать сертифицированные средства защиты. В США идут иным путем.

В американском документе первым требованием к защите данных является постоянное обучение сотрудников нормам безопасной работы с данными, тогда как у нас, как следует из документов правительства, в первую очередь следует обзавестись замком на двери в серверную.

А ведь совсем не секрет, что не исправность замков, а безразличие сотрудников к вопросам безопасности, непонимание ими важности соблюдения установленных правил и является основной причиной утечек информации. Сотрудники как правило не понимают ценности той информации, к которой они имеют доступ, не говоря уж о массовом безосновательном доверии их к своим контактам.

Обученные сотрудники должны знать:

  • как распознать персональные данные;
  • каковы требования законодательства;
  • какие существуют ограничения на сбор, хранение и использование персональных данных;
  • какова их ответственность и каковы их обязанности;
  • как можно безопасно обрабатывать ПДн;
  • как поступать в случае обнаружения нарушений, связанных с обработкой и защитой персональных данных;

А у нас пока сотрудники не всегда могут даже распознать персональные данные. Про знание требований законодательства вообще молчу.

Вторым требованием рекомендаций NIST является необходимость разработки политики в области обработки персональных данных (а не просто набора правил) создания процедур, описывающих

  • порядок доступа к персональным данным;
  • правила хранения персональных данных;
  • порядок реагирования на инциденты и устранения их последствий;
  • ограничения на сбор, раскрытие, передачу и использование персональных данных;

И все эти процедуры должны поддерживаться и развиваться!

Еще одним серьезным отличием американской инструкции являются рекомендации по минимизации используемых данных и их обезличиванию (то есть обработке и хранению в форме, не позволяющей идентифицировать субъекта). У нас таких просто нет, тогда как именно эти рекомендации позволяют вообще отказаться от многих средств зашиты и упростить множество процедур. Казалось бы простая мысль: если нельзя вычленить информацию о человеке, то и защищать ее куда проще. Но многие ли наши компании ее понимают?

И только после описания необходимого списка процедур и уровня знаний у американцев идут меры по защите:

  • Управление доступом
  • Аудит событий
  • Авторизация и идентификация пользователей
  • Маркировка, хранение и перемещение носителей информации
  • Защита при передаче информации (в том числе шифрование)
  • Мониторинг информационной системы

И это все! Желающие могут сравнить с проектом приказа ФСТЭК «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». 

Совершенно иной подход американского законотворчества можно только приветствовать – он идет от процедур к мерам по защите. Меры по защите не возводятся в самоценный абсолют. Совершенно логично – минимизируем защищаемые данные – определяем процедуры их обработки - и только потом распределяем права доступа и контролируем ход процедур. Только в этом случае меря по защите становятся эффективны. В приказах ФСТЭК присутствуют требования по наличию технических мер защиты – но любые меры защиты будут обойдены теми, кто не понимает, зачем их соблюдать.

Есть конечно в американском подходе и существенная ложка дегтя - требование по описанию процедур, их поддержанию, обучению пользователей нереализуемы для большинства компаний мелкого и среднего бизнеса – там просто нет ни специалистов соответствующего профиля, ни денег на их содержание.

Конечно, система защиты персональных данных в США не является безупречной. Атака на Всемирный торговый центр существенно изменила отношение к персональным данным в этой стране, законы которй теперь ставят своей целью не защиту неприкосновенности персональных данных, а максимальную открытость баз данных для скорейшего получения доступа к ним спецслужб. Кроме того, во многих штатах допускается мониторинг поведения сотрудников (естественно, только с их согласия) не только на работе, но и в нерабочее время. Этим, видимо, и объясняется включение США в список стран, не обеспечивающих адекватную защиту персональных данных.

Но об этом нужно задуматься еще и нашим гражданам, чиновникам и компаниям, активно использующим Twitter, создающим группы в Facebook, пользующимся почтой Google.Mail и хранящим данные в датацентрах за океаном.

Уже скоро, 28 января, во всем мире (а значит, и в нашей стране) будет отмечаться Международный день защиты персональных данных. Хороший повод вспомнить, что уровень защиты НАШИХ персональные данных от НАС.

Обсудите в соцсетях

Система Orphus

Главные новости

08:56 Штайнмайер предложил Лаврову установить перемирие в Алеппо
08:38 ЦСКА вылетел из еврокубков
08:24 Коалиция США разбомбила госпиталь в Мосуле
07:58 СМИ назвали основную версию падения Су-33 с «Адмирала Кузнецова»
01:09 Перевод новой книги о Гарри Поттере на русский продается втрое успешней оригинала
01:03 «Росгосстрах» перейдет в собственность крупного российского банка
00:38 Дутерте передразнил Трампа в телеэфире
07.12 23:59 Инфантино решил изменить правила чемпионата мира по футболу
07.12 23:53 Минздрав прокомментировал новость о лицензировании целителей
07.12 23:44 Лавров поддержал американские предложения по Алеппо
07.12 23:36 Московские коммунальщики приготовились к борьбе с последствиями снегопада
07.12 23:07 RT получит дополнительно 1,22 млрд рублей на франкоязычную версию
07.12 22:50 Представитель Ходорковского опровергла слухи о его кампании против Путина
07.12 22:43 МОК подвел промежуточные итоги перепроверки допинг-проб
07.12 22:13 Итальянский президент принял отставку главы правительства
07.12 22:06 Трамп допустил возможность завести голдендудла в Белом доме
07.12 21:54 Московский арбитраж признал банкротом Военно-промышленный банк
07.12 21:10 Женщины-депутаты попросили отпустить их из Госдумы к мужьям
07.12 20:59 Госдума приняла закон о блокировке сайтов с описанием спайсов
07.12 20:53 Третьяковка закрыла живую очередь к шедеврам Ватикана из-за перекупщиков
07.12 20:39 В Киеве предложили обменять пленных до Нового года
07.12 20:23 Ходорковский запустил пять медиапроектов
07.12 20:17 Forbes второй раз признал Джонни Деппа самым переоцененным актером
07.12 20:06 Суд в Москве арестовал 12 предполагаемых участников «Хизб ут-Тахрир»
07.12 19:57 Минобороны РФ сообщило о контроле сирийских войск над 70% Алеппо
07.12 19:51 Мосгорсуд не выявил нарушений прав Улюкаева во время задержания
07.12 19:34 Дерипаска решил судиться с Кипром за потерянные инвестиции
07.12 19:31 Кадыров сообщил о самочувствии после операции
07.12 19:26 МОК продлил санкции против России
07.12 19:01 В Новосибирске пройдет митинг против роста тарифов ЖКХ
07.12 18:58 Госдума увеличила МРОТ до 7800 рублей
07.12 18:49 США и союзники подготовились к новым санкциям против сторонников Асада
07.12 18:17 Задержан начальник центра «Э» МВД Ингушетии
07.12 17:59 Премьер Италии уйдет отставку вечером 7 декабря
07.12 17:57 СМИ нашли возможную причину падения самолета в Пакистане
07.12 17:44 В Иране валюту поменяли на туман
07.12 17:34 Израиль нанес удар по аэродрому под Дамаском
07.12 17:17 Исинбаева возглавила набсовет РУСАДА
07.12 17:15 Обвинение потребовало вынести пожизненный приговор Ратко Младичу
07.12 17:05 Для борьбы с вредителем пальм использовали следящие устройства
07.12 16:59 Очевидцы предположили гибель всех пассажиров упавшего пакистанского лайнера
07.12 16:57 «Антонов» предложил Трампу свой президентский самолет
07.12 16:36 Суд оштрафовал «Мемориал» на 300 тысяч рублей
07.12 16:30 Глава Минздрава пообещала закупать уникальное медоборудование за рубежом
07.12 16:16 В Ирландии разморозили 100 млн евро Ходорковского
07.12 16:00 Time выбрал Трампа человеком года
07.12 15:56 Еврокомиссия оштрафовала участников банковского картеля почти на полмиллиарда евро
07.12 15:47 Пропавший в Пакистане пассажирский самолет разбился
07.12 15:44 Путин напомнил офицерам ФСИН о человеческой стороне заключенных
07.12 15:26 Экспертиза «Полит.ру»: Обвинять в госизмене за СМС нельзя, если оно адресовалось частному лицу
Apple Boeing Facebook Google NATO PRO SCIENCE видео ProScience Театр Pussy Riot Twitter аварии на железной дороге авиакатастрофа Австралия автопром Азербайджан Александр Лукашенко Алексей Навальный алкоголь амнистия Анатолий Сердюков Ангела Меркель Антимайдан Армения армия Арсений Яценюк археология астрономия атомная энергия Афганистан Аэрофлот банковский сектор Барак Обама Башар Асад беженцы Белоруссия беспорядки бизнес биология ближневосточный конфликт болельщики «болотное дело» Борис Немцов Бразилия Великая Отечественная война Великобритания Венесуэла Верховная Рада взрыв взятка видеозаписи публичных лекций «Полит.ру» видео «Полит.ру» визовый режим Виктор Янукович «ВКонтакте» ВКС Владимир Жириновский Владимир Путин ВМФ военная авиация Вторая мировая война вузы выборы выборы губернаторов выборы мэра Москвы газовая промышленность «Газпром» генетика Генпрокуратура Германия ГИБДД гомосексуализм госбюджет Госдеп Госдума гражданская авиация Греция Гринпис Грузия гуманитарная помощь гуманитарные и социальные науки Дагестан Дальний Восток День Победы дети Дмитрий Медведев Дмитрий Песков Дмитрий Рогозин доллар Домодедово Донецк драка ДТП Евгения Васильева евро Евромайдан Евросоюз Египет ЕГЭ «Единая Россия» Екатеринбург естественные и точные науки ЖКХ журналисты закон об «иностранных агентах» законотворчество здравоохранение в России землетрясение «Зенит» Израиль Индия Индонезия инновации Интервью ученых интернет инфляция Ирак Ирак после войны Иран Иркутская область ислам «Исламское государство» Испания история История человечества Италия Йемен Казань Казахстан Канада Киев кино Китай Климат Земли, атмосферные явления КНДР Книга. Знание кораблекрушение коррупция космос КПРФ кража Краснодарский край кредиты Кремль крушение вертолета Крым крымский кризис культура Латвия ЛГБТ ЛДПР лесные пожары Ливия Литва литература Луганск Малайзия МВД МВФ медиа медицина междисциплинарные исследования Мексика Мемория метро мигранты МИД России Минздрав Минкульт Минобороны Минобрнауки Минфин Минэкономразвития Минюст мировой экономический кризис «Мистраль» Михаил Саакашвили Михаил Ходорковский МКС Молдавия Мосгорсуд Москва Московская область мошенничество музыка МЧС наводнение налоги нанотехнологии наркотики НАСА наука Наука в современной России «Нафтогаз Украины» некролог Нерусский бунт нефть Нигерия Нидерланды Нобелевская премия Новосибирск Новые технологии, инновации Нью-Йорк «Оборонсервис» образование ОБСЕ общественный транспорт общество ограбление Одесса Олимпийские игры ООН оппозиция опросы оружие отставки-назначения Пакистан Палестинская автономия пенсионная реформа Пентагон Петр Порошенко погранвойска пожар полиция Польша правительство Право «Правый сектор» преступления полицейских преступность происшествия публичные лекции Рамзан Кадыров РАН Революция в Киргизии рейтинги религия Реформа армии РЖД Роскомнадзор Роскосмос Роспотребнадзор Россельхознадзор Российская академия наук Россия Ростовская область РПЦ рубль русские националисты Санкт-Петербург санкции Саудовская Аравия Сбербанк связь связь и телекоммуникации Севастополь сельское хозяйство сепаратизм Сергей Лавров Сергей Собянин Сергей Шойгу Сирия Сколково Славянск Следственный комитет следствие Совет Федерации социальные сети Социология в России Сочи Сочи 2014 «Спартак» «Справедливая Россия» спутники СССР стихийные бедствия Стихотворения на случай стрельба суды суицид США Таиланд Татарстан театр телевидение теракт терроризм технологии транспорт туризм Турция тюрьмы и колонии убийство Украина Федеральная миграционная служба физика Финляндия ФИФА фондовая биржа Фоторепортаж Франсуа Олланд Франция ФСБ ФСИН ФСКН футбол Хабаровский край хакеры Харьков химическое оружие хоккей Центробанк Цикл бесед "Взрослые люди" Челябинская область Чечня шахты Швейцария Швеция школа шпионаж Эбола Эдвард Сноуден экология экономика экономический кризис экстремизм Южная Корея ЮКОС Юлия Тимошенко ядерное оружие Япония

Редакция

Электронная почта: politru.edit1@gmail.com
Адрес: 129343, Москва, проезд Серебрякова, д.2, корп.1, 9 этаж.
Телефоны: +7 495 980 1893, +7 495 980 1894.
Стоимость услуг Полит.ру
Свидетельство о регистрации средства массовой информации
Эл. № 77-8425 от 1 декабря 2003г. Выдано министерством
Российской Федерации по делам печати, телерадиовещания и
средств массовой информации. Выходит с 21 февраля 1998 года.
При любом использовании материалов веб-сайта ссылка на Полит.ру обязательна.
При перепечатке в Интернете обязательна гиперссылка polit.ru.
Все права защищены и охраняются законом.
© Полит.ру, 1998–2014.