Полiт.ua Государственная сеть Государственные люди Войти
25 февраля 2017, суббота, 03:03
Facebook Twitter LiveJournal VK.com RSS

НОВОСТИ

СТАТЬИ

АВТОРЫ

ЛЕКЦИИ

PRO SCIENCE

СКОЛКОВО

РЕГИОНЫ

18 января 2013, 22:41

О защите и о «защите» персональных данных

Фото: interrex.com.pl
Фото: interrex.com.pl

13 декабря 2012 года консультативный совет при Роскомнадзоре одобрил проект приказа об утверждении перечня зарубежных стран, не являющихся сторонами Конвенции Совета Европы «О защите личности в связи автоматической обработкой персональных данных», но адекватно защищающих персональные данные. Тем самым было выполнено требование Закона о защите персональных данных, и теперь все компании обязаны внести изменения в процедуры их обработки.

Критерии попадания стран в список достаточно просты и соответствуют требованиям Европейского союза, закрепленным в документе рабочей группы по защите прав частных лиц применительно к обработке персональных данных, принятом 24 июля 1998 года. Считается, что государство, не являющееся стороной Конвенции Совета Европы, обеспечивает адекватную защиту прав субъектов персональных данных, если в нем действуют соответствующие нормы права, осуществляет деятельность уполномоченный орган и обеспечивается правовая защита граждан в сфере персональных данных.

Таким образом, в список стран, общение с которыми не требует от оператора персональных данных принятия специальных мер, попали страны Совета Европы (согласно данным Роскомнадзора— 26 стран), а также Австралия, Аргентина, Израиль, Канада Марокко, Малайзия, Мексика, Монголия, Новая Зеландия, Ангола, Бенин, Кабо-Верде, Республика Корея, Перу, Сенегал, Тунис, Чили, Специальный административный район Гонконг Китайской Народной Республики и Швейцария.

Как видно из списка, в число стран с адекватной защитой не попали такие государства, как США, Япония, Индия, Китай, Украина и Турция, в то время как с ними активно работают очень многие компании. Не вошли в список и любимые всеми «туристические» страны — Египет, Тайланд, Мальдивы.

Это, естественно, не означает, что с ними теперь нельзя работать, но взаимодействие усложнится — как минимум потребуется письменное согласие субъекта. Хуже всего придется компаниям, размещающим свои серверы и базы данных в «несписочных» странах — им потребуется своими силами обеспечить защиту данных в соответствии с законом. В принципе можно, конечно, переехать, скажем, в Анголу или Кабо-Верде, но есть серьезные сомнения в том, что многие на это пойдут.

Состав списков может вызвать удивление, но, как ни странно, не все плохо только в нашей стране.

Возьмем для примера США и рассмотрим, как относятся к защите персональных данных здесь, где разработано большинство технологий, имеющих отношение к информационной безопасности.

Как ни странно, в отличие от большинства ведущих стран мира, в Соединенных Штатах Америки до сих пор отсутствует общефедеральное законодательство, касающееся защиты персональных данных. Имеющиеся акты (а их всего два - Privacy Act of 1974  и Privacy Protection Act of 1980) являются обязательными только для государственных организаций — частные компании могут воспользоваться этими рекомендациями, а могут и не воспользоваться. В случае нарушения прав субъектов персональных данных применяется практика прецедентного права.

Но даже действующие законодательные акты, регулируют далеко не все вопросы, касающиеся персональных данных. Поэтому, подобно тому, как в Российской Федерации в дополнение к закону о персональных данных действую приказы ФСТЭК и ФСБ, конкретизирующие требования законов ним действуют, в США в качестве рекомендаций по порядку обеспечения защиты данных применяются документы Национального института стандартов и технологий (NIST - National Institute of Standards and Technology). В частности, область защиты персональных данных описывает выпущенное NIST «Руководство по защите персональных данных» (SP 800-122), проект которого вышел в свет в январе 2009 (полный текст на англ. здесь, сокращенный русский перевод здесь). Этот документ содержит только самые общие рекомендации. При этом он помогает правильно задействовать нормативно-правовые акты внутреннего законодательства США, в которых отражены различные организационные, технические, юридические аспекты защиты данных и даже содержит примеры, в соответствии с которыми могут действовать организации.

Это достаточно хороший подход, которого так недостает нашим законодательным актам, из-за чего последние регулярно вызывают множество вопросов в области их правоприменения. Подход SP 800-122 коренным образом отличается от документов Правительства России (ПП 1119) и приказов ФСТЭК, которые фактически являются перечислением возможных средств и методов защиты с одним единственным требованием – использовать сертифицированные средства защиты. В США идут иным путем.

В американском документе первым требованием к защите данных является постоянное обучение сотрудников нормам безопасной работы с данными, тогда как у нас, как следует из документов правительства, в первую очередь следует обзавестись замком на двери в серверную.

А ведь совсем не секрет, что не исправность замков, а безразличие сотрудников к вопросам безопасности, непонимание ими важности соблюдения установленных правил и является основной причиной утечек информации. Сотрудники как правило не понимают ценности той информации, к которой они имеют доступ, не говоря уж о массовом безосновательном доверии их к своим контактам.

Обученные сотрудники должны знать:

  • как распознать персональные данные;
  • каковы требования законодательства;
  • какие существуют ограничения на сбор, хранение и использование персональных данных;
  • какова их ответственность и каковы их обязанности;
  • как можно безопасно обрабатывать ПДн;
  • как поступать в случае обнаружения нарушений, связанных с обработкой и защитой персональных данных;

А у нас пока сотрудники не всегда могут даже распознать персональные данные. Про знание требований законодательства вообще молчу.

Вторым требованием рекомендаций NIST является необходимость разработки политики в области обработки персональных данных (а не просто набора правил) создания процедур, описывающих

  • порядок доступа к персональным данным;
  • правила хранения персональных данных;
  • порядок реагирования на инциденты и устранения их последствий;
  • ограничения на сбор, раскрытие, передачу и использование персональных данных;

И все эти процедуры должны поддерживаться и развиваться!

Еще одним серьезным отличием американской инструкции являются рекомендации по минимизации используемых данных и их обезличиванию (то есть обработке и хранению в форме, не позволяющей идентифицировать субъекта). У нас таких просто нет, тогда как именно эти рекомендации позволяют вообще отказаться от многих средств зашиты и упростить множество процедур. Казалось бы простая мысль: если нельзя вычленить информацию о человеке, то и защищать ее куда проще. Но многие ли наши компании ее понимают?

И только после описания необходимого списка процедур и уровня знаний у американцев идут меры по защите:

  • Управление доступом
  • Аудит событий
  • Авторизация и идентификация пользователей
  • Маркировка, хранение и перемещение носителей информации
  • Защита при передаче информации (в том числе шифрование)
  • Мониторинг информационной системы

И это все! Желающие могут сравнить с проектом приказа ФСТЭК «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». 

Совершенно иной подход американского законотворчества можно только приветствовать – он идет от процедур к мерам по защите. Меры по защите не возводятся в самоценный абсолют. Совершенно логично – минимизируем защищаемые данные – определяем процедуры их обработки - и только потом распределяем права доступа и контролируем ход процедур. Только в этом случае меря по защите становятся эффективны. В приказах ФСТЭК присутствуют требования по наличию технических мер защиты – но любые меры защиты будут обойдены теми, кто не понимает, зачем их соблюдать.

Есть конечно в американском подходе и существенная ложка дегтя - требование по описанию процедур, их поддержанию, обучению пользователей нереализуемы для большинства компаний мелкого и среднего бизнеса – там просто нет ни специалистов соответствующего профиля, ни денег на их содержание.

Конечно, система защиты персональных данных в США не является безупречной. Атака на Всемирный торговый центр существенно изменила отношение к персональным данным в этой стране, законы которй теперь ставят своей целью не защиту неприкосновенности персональных данных, а максимальную открытость баз данных для скорейшего получения доступа к ним спецслужб. Кроме того, во многих штатах допускается мониторинг поведения сотрудников (естественно, только с их согласия) не только на работе, но и в нерабочее время. Этим, видимо, и объясняется включение США в список стран, не обеспечивающих адекватную защиту персональных данных.

Но об этом нужно задуматься еще и нашим гражданам, чиновникам и компаниям, активно использующим Twitter, создающим группы в Facebook, пользующимся почтой Google.Mail и хранящим данные в датацентрах за океаном.

Уже скоро, 28 января, во всем мире (а значит, и в нашей стране) будет отмечаться Международный день защиты персональных данных. Хороший повод вспомнить, что уровень защиты НАШИХ персональные данных от НАС.

Обсудите в соцсетях

Система Orphus

Главные новости

24.02 21:00 Трамп пообещал наращивание военной мощи США
24.02 20:44 В Генштабе Турции сообщили о достижении своих целей в Сирии
24.02 20:24 Верховный суд США рассмотрит прошение Бута о пересмотре приговора
24.02 20:08 В Бангладеш прошли митинги против статуи Фемиды у Верховного суда
24.02 19:52 Spiegel сообщил о слежке Германии за иностранными журналистами
24.02 19:26 Житель Екатеринбурга бросил гранату в обидчиков
24.02 19:07 СБУ проверит Надежду Савченко
24.02 18:50 Противников строительства макета Рейхстага обвинили в симпатиях к Третьему рейху
24.02 18:25 Савченко прибыла в Донецк для встречи с военнопленными
24.02 16:56 The New Yorker выйдет с обложкой на русском
24.02 16:44 136 турецких дипломатов и членов их семей попросили Германию об убежище
24.02 16:22 Словения разрешила однополые браки
24.02 16:01 ОНК проверит колонию Дадина из-за его удержания
24.02 15:47 «Ростов» сыграет с «Манчестер Юнайтед» в матче Лиги Европы
24.02 15:34 RT узнала о плане импичмента Трампу через месяц после его публикации
24.02 15:09 Вывеска пекарни убила просившую милостыню в Ижевске
24.02 14:50 Петр Толстой после поездки в Вену заявил о выходе РФ из изоляции
24.02 14:31 Эрдоган прилетит в Москву 9 марта
24.02 14:13 Виталий Чуркин похоронен на Троекуровском кладбище
24.02 14:05 СК возбудил дело из-за пожара в детской больнице в Твери
24.02 13:49 Трамп не станет выходить из соглашения по климату по совету своей дочери
24.02 13:27 На американском сегменте МКС обнаружена утечка аммиака
24.02 13:20 Одним из предполагаемых похитителей депутата Рады оказался россиянин
24.02 12:57 41 человек погиб при взрыве заминированной машины в Сирии
24.02 12:47 Трамп назвал «плохой сделкой» договор об ограничении ядерных ракет с РФ
24.02 12:22 Грузовик «Прогресс» впервые после аварии пристыковался к МКС
24.02 12:02 Три российских легкоатлета будут выступать под олимпийским флагом
24.02 11:45 Аэропорт Куала-Лумпура проверят на радиацию после убийства брата главы КНДР
24.02 11:28 В Минске решили платить за газ по цене для ЯНАО
24.02 11:03 В Москве началось прощание с Виталием Чуркиным
24.02 10:53 Трамп подтвердил претензии к России из-за развертывания ракетных комплексов
24.02 10:36 Южная Корея призвала американцев включить КНДР в список спонсоров терроризма
24.02 10:16 Депутаты России и Украины обсудили Донбасс в рамках ПА ОБСЕ
24.02 10:01 ФБР отказалось рассказать СМИ о связях администрации Трампа с россиянами
24.02 09:45 Палата представителей Нидерландов одобрила соглашение Украины с ЕС
24.02 09:22 Брата Ким Чен Ына отравили нервно-паралитическим газом
24.02 09:07 Временным постпредом России при ООН стал заместитель Чуркина
23.02 21:00 Суд в Вене отказал в аресте Фирташа по запросу Испании
23.02 20:40 ВТО отклонила апелляцию России по спору с ЕС
23.02 20:11 Канцлер Австрии призвал ЕС смягчить санкции против России
23.02 19:33 В Москве задержали посетителей антивоенного концерта
23.02 19:07 В Бобруйске при взлете загорелся МиГ-29
23.02 18:42 Алексея Петренко похоронят 27 февраля на Никольском кладбище
23.02 18:20 Экс-глава МВФ получил 4,5 года тюрьмы
23.02 17:54 На Украине нашли похищенного депутата
23.02 17:19 Путин назвал цели России в Сирии
23.02 16:43 Сирийская оппозиция взяла оплот ИГ на севере Алеппо
23.02 16:09 Transparency International нашла конфликт интересов в Минобороны из-за «Суперджетов»
23.02 15:39 На Украине похитили депутата Рады
23.02 15:01 Facebook досрочно разблокировал аккаунт советника Путина
Apple Boeing Facebook Google IT NATO PRO SCIENCE видео ProScience Театр Pussy Riot Twitter аварии на железной дороге авиакатастрофа Австралия Австрия автопром администрация президента Азербайджан акции протеста Александр Лукашенко Алексей Кудрин Алексей Навальный Алексей Улюкаев алкоголь амнистия Анатолий Сердюков Ангела Меркель Антимайдан Армения армия Арсений Яценюк археология астрономия атомная энергия аукционы Афганистан Аэрофлот баллистические ракеты банковский сектор банкротство Барак Обама Башар Асад Башкирия беженцы Белоруссия Белый дом Бельгия беспорядки бизнес биология ближневосточный конфликт бокс болельщики «болотное дело» большой теннис Борис Немцов Бразилия ВВП Великая Отечественная война Великобритания Венесуэла Верховная Рада Верховный суд взрыв взятка видеозаписи публичных лекций «Полит.ру» видео «Полит.ру» визовый режим Виктор Янукович вирусы Виталий Мутко «ВКонтакте» ВКС Владивосток Владимир Жириновский Владимир Маркин Владимир Мединский Владимир Путин ВМФ военная авиация Волгоград ВТБ Вторая мировая война вузы выборы выборы губернаторов выборы мэра Москвы газовая промышленность «Газпром» генетика Генпрокуратура Германия ГИБДД ГЛОНАСС Голливуд гомосексуализм госбюджет Госдеп Госдума госзакупки гражданская авиация Греция Гринпис Грузия гуманитарная помощь гуманитарные и социальные науки Дагестан Дальний Восток деньги День Победы дети Дмитрий Медведев Дмитрий Песков Дмитрий Рогозин доллар Домодедово Дональд Трамп Донецк допинг дороги России драка ДТП Евгения Васильева евро Евровидение Еврокомиссия Евромайдан Евросоюз Египет ЕГЭ «Единая Россия» Екатеринбург ЕСПЧ естественные и точные науки ЖКХ журналисты Забайкальский край закон об «иностранных агентах» законотворчество здравоохранение в России землетрясение «Зенит» Израиль Индия Индонезия инновации Интервью ученых интернет инфляция Ирак Ирак после войны Иран Иркутская область искусство ислам «Исламское государство» Испания история История человечества Италия Йемен Казань Казахстан казнь Калининград Камчатка Канада Киев кино Киргизия Китай Климат Земли, атмосферные явления КНДР Книга. Знание Компьютеры, программное обеспечение кораблекрушение коррупция космодром Восточный космос КПРФ кража Краснодарский край Красноярский край кредиты Кремль крушение вертолета Крым крымский кризис Куба культура Латвия ЛГБТ ЛДПР Левада-Центр легкая атлетика лесные пожары Ливия лингвистика Литва литература Лондон Луганск Малайзия МВД МВФ медиа медицина междисциплинарные исследования Мексика Мемория метро мигранты МИД России Минздрав Минкомсвязи Минкульт Минобороны Минобрнауки Минтранспорта Минтруд Минфин Минэкономразвития Минюст мировой экономический кризис «Мистраль» Михаил Саакашвили Михаил Ходорковский МКС Молдавия Мосгорсуд Москва Московская область мошенничество музыка МЧС наводнение Надежда Савченко налоги нанотехнологии наркотики НАСА наука Наука в современной России «Нафтогаз Украины» некоммерческие организации некролог Нерусский бунт нефть Нигерия Нидерланды Нобелевская премия Новосибирск Новые технологии, инновации Новый год Норвегия Нью-Йорк «Оборонсервис» образование обрушение ОБСЕ общественный транспорт общество ограбление Одесса Олимпийские игры ООН оппозиция опросы оружие отставки-назначения Пакистан палеонтология Палестинская автономия Папа Римский Париж ПДД педофилия пенсионная реформа Пентагон Петр Порошенко пищевая промышленность погранвойска пожар полиция Польша похищение права человека правительство Право правозащитное движение «Правый сектор» преступления полицейских преступность Приморский край происшествия публичные лекции Рамзан Кадыров РАН Революция в Киргизии Реджеп Эрдоган рейтинги религия Реформа армии РЖД ритейл Роскомнадзор Роскосмос Роспотребнадзор Россельхознадзор Российская академия наук Россия Ростов-на-Дону Ростовская область РПЦ рубль русские националисты РФС Санкт-Петербург санкции Саудовская Аравия Сахалин Сбербанк Свердловская область связь связь и телекоммуникации Севастополь сельское хозяйство сепаратизм Сербия Сергей Лавров Сергей Собянин Сергей Шойгу Сирия Сколково Славянск Следственный комитет следствие смартфоны СМИ Совбез ООН Совет по правам человека Совет Федерации сотовая связь социальные сети социология Социология в России Сочи Сочи 2014 «Спартак» спецслужбы «Справедливая Россия» спутники СССР Ставропольский край стихийные бедствия Стихотворения на случай страхование стрельба строительство суды суицид США Таджикистан Таиланд Татарстан театр телевидение телефонный терроризм теракт терроризм технологии транспорт туризм Турция тюрьмы и колонии убийство УЕФА Украина Условия труда ФАС Федеральная миграционная служба физика Филиппины Финляндия ФИФА фондовая биржа фоторепортаж Франсуа Олланд Франция ФСБ ФСИН ФСКН футбол Хабаровский край хакеры Харьков Хиллари Клинтон химическое оружие хоккей хулиганство Центробанк ЦИК Цикл бесед "Взрослые люди" ЦСКА Челябинская область Чехия Чечня ЧМ-2018 шахты Швейцария Швеция школа шоу-бизнес шпионаж Эбола Эдвард Сноуден экология экономика экономический кризис экстремизм Эстония Южная Корея ЮКОС Юлия Тимошенко ядерное оружие Япония

Редакция

Электронная почта: politru.edit1@gmail.com
Адрес: 129343, Москва, проезд Серебрякова, д.2, корп.1, 9 этаж.
Телефоны: +7 495 980 1893, +7 495 980 1894.
Стоимость услуг Полит.ру
Свидетельство о регистрации средства массовой информации
Эл. № 77-8425 от 1 декабря 2003г. Выдано министерством
Российской Федерации по делам печати, телерадиовещания и
средств массовой информации. Выходит с 21 февраля 1998 года.
При любом использовании материалов веб-сайта ссылка на Полит.ру обязательна.
При перепечатке в Интернете обязательна гиперссылка polit.ru.
Все права защищены и охраняются законом.
© Полит.ру, 1998–2014.