29 июля 2021, четверг, 00:12
VK.comFacebookTwitterTelegramInstagramYouTubeЯндекс.ДзенОдноклассники

НОВОСТИ

СТАТЬИ

PRO SCIENCE

МЕДЛЕННОЕ ЧТЕНИЕ

ЛЕКЦИИ

АВТОРЫ

18 января 2013, 22:41

О защите и о «защите» персональных данных

Фото: interrex.com.pl
Фото: interrex.com.pl

13 декабря 2012 года консультативный совет при Роскомнадзоре одобрил проект приказа об утверждении перечня зарубежных стран, не являющихся сторонами Конвенции Совета Европы «О защите личности в связи автоматической обработкой персональных данных», но адекватно защищающих персональные данные. Тем самым было выполнено требование Закона о защите персональных данных, и теперь все компании обязаны внести изменения в процедуры их обработки.

Критерии попадания стран в список достаточно просты и соответствуют требованиям Европейского союза, закрепленным в документе рабочей группы по защите прав частных лиц применительно к обработке персональных данных, принятом 24 июля 1998 года. Считается, что государство, не являющееся стороной Конвенции Совета Европы, обеспечивает адекватную защиту прав субъектов персональных данных, если в нем действуют соответствующие нормы права, осуществляет деятельность уполномоченный орган и обеспечивается правовая защита граждан в сфере персональных данных.

Таким образом, в список стран, общение с которыми не требует от оператора персональных данных принятия специальных мер, попали страны Совета Европы (согласно данным Роскомнадзора— 26 стран), а также Австралия, Аргентина, Израиль, Канада Марокко, Малайзия, Мексика, Монголия, Новая Зеландия, Ангола, Бенин, Кабо-Верде, Республика Корея, Перу, Сенегал, Тунис, Чили, Специальный административный район Гонконг Китайской Народной Республики и Швейцария.

Как видно из списка, в число стран с адекватной защитой не попали такие государства, как США, Япония, Индия, Китай, Украина и Турция, в то время как с ними активно работают очень многие компании. Не вошли в список и любимые всеми «туристические» страны — Египет, Тайланд, Мальдивы.

Это, естественно, не означает, что с ними теперь нельзя работать, но взаимодействие усложнится — как минимум потребуется письменное согласие субъекта. Хуже всего придется компаниям, размещающим свои серверы и базы данных в «несписочных» странах — им потребуется своими силами обеспечить защиту данных в соответствии с законом. В принципе можно, конечно, переехать, скажем, в Анголу или Кабо-Верде, но есть серьезные сомнения в том, что многие на это пойдут.

Состав списков может вызвать удивление, но, как ни странно, не все плохо только в нашей стране.

Возьмем для примера США и рассмотрим, как относятся к защите персональных данных здесь, где разработано большинство технологий, имеющих отношение к информационной безопасности.

Как ни странно, в отличие от большинства ведущих стран мира, в Соединенных Штатах Америки до сих пор отсутствует общефедеральное законодательство, касающееся защиты персональных данных. Имеющиеся акты (а их всего два - Privacy Act of 1974  и Privacy Protection Act of 1980) являются обязательными только для государственных организаций — частные компании могут воспользоваться этими рекомендациями, а могут и не воспользоваться. В случае нарушения прав субъектов персональных данных применяется практика прецедентного права.

Но даже действующие законодательные акты, регулируют далеко не все вопросы, касающиеся персональных данных. Поэтому, подобно тому, как в Российской Федерации в дополнение к закону о персональных данных действую приказы ФСТЭК и ФСБ, конкретизирующие требования законов ним действуют, в США в качестве рекомендаций по порядку обеспечения защиты данных применяются документы Национального института стандартов и технологий (NIST - National Institute of Standards and Technology). В частности, область защиты персональных данных описывает выпущенное NIST «Руководство по защите персональных данных» (SP 800-122), проект которого вышел в свет в январе 2009 (полный текст на англ. здесь, сокращенный русский перевод здесь). Этот документ содержит только самые общие рекомендации. При этом он помогает правильно задействовать нормативно-правовые акты внутреннего законодательства США, в которых отражены различные организационные, технические, юридические аспекты защиты данных и даже содержит примеры, в соответствии с которыми могут действовать организации.

Это достаточно хороший подход, которого так недостает нашим законодательным актам, из-за чего последние регулярно вызывают множество вопросов в области их правоприменения. Подход SP 800-122 коренным образом отличается от документов Правительства России (ПП 1119) и приказов ФСТЭК, которые фактически являются перечислением возможных средств и методов защиты с одним единственным требованием – использовать сертифицированные средства защиты. В США идут иным путем.

В американском документе первым требованием к защите данных является постоянное обучение сотрудников нормам безопасной работы с данными, тогда как у нас, как следует из документов правительства, в первую очередь следует обзавестись замком на двери в серверную.

А ведь совсем не секрет, что не исправность замков, а безразличие сотрудников к вопросам безопасности, непонимание ими важности соблюдения установленных правил и является основной причиной утечек информации. Сотрудники как правило не понимают ценности той информации, к которой они имеют доступ, не говоря уж о массовом безосновательном доверии их к своим контактам.

Обученные сотрудники должны знать:

  • как распознать персональные данные;
  • каковы требования законодательства;
  • какие существуют ограничения на сбор, хранение и использование персональных данных;
  • какова их ответственность и каковы их обязанности;
  • как можно безопасно обрабатывать ПДн;
  • как поступать в случае обнаружения нарушений, связанных с обработкой и защитой персональных данных;

А у нас пока сотрудники не всегда могут даже распознать персональные данные. Про знание требований законодательства вообще молчу.

Вторым требованием рекомендаций NIST является необходимость разработки политики в области обработки персональных данных (а не просто набора правил) создания процедур, описывающих

  • порядок доступа к персональным данным;
  • правила хранения персональных данных;
  • порядок реагирования на инциденты и устранения их последствий;
  • ограничения на сбор, раскрытие, передачу и использование персональных данных;

И все эти процедуры должны поддерживаться и развиваться!

Еще одним серьезным отличием американской инструкции являются рекомендации по минимизации используемых данных и их обезличиванию (то есть обработке и хранению в форме, не позволяющей идентифицировать субъекта). У нас таких просто нет, тогда как именно эти рекомендации позволяют вообще отказаться от многих средств зашиты и упростить множество процедур. Казалось бы простая мысль: если нельзя вычленить информацию о человеке, то и защищать ее куда проще. Но многие ли наши компании ее понимают?

И только после описания необходимого списка процедур и уровня знаний у американцев идут меры по защите:

  • Управление доступом
  • Аудит событий
  • Авторизация и идентификация пользователей
  • Маркировка, хранение и перемещение носителей информации
  • Защита при передаче информации (в том числе шифрование)
  • Мониторинг информационной системы

И это все! Желающие могут сравнить с проектом приказа ФСТЭК «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». 

Совершенно иной подход американского законотворчества можно только приветствовать – он идет от процедур к мерам по защите. Меры по защите не возводятся в самоценный абсолют. Совершенно логично – минимизируем защищаемые данные – определяем процедуры их обработки - и только потом распределяем права доступа и контролируем ход процедур. Только в этом случае меря по защите становятся эффективны. В приказах ФСТЭК присутствуют требования по наличию технических мер защиты – но любые меры защиты будут обойдены теми, кто не понимает, зачем их соблюдать.

Есть конечно в американском подходе и существенная ложка дегтя - требование по описанию процедур, их поддержанию, обучению пользователей нереализуемы для большинства компаний мелкого и среднего бизнеса – там просто нет ни специалистов соответствующего профиля, ни денег на их содержание.

Конечно, система защиты персональных данных в США не является безупречной. Атака на Всемирный торговый центр существенно изменила отношение к персональным данным в этой стране, законы которй теперь ставят своей целью не защиту неприкосновенности персональных данных, а максимальную открытость баз данных для скорейшего получения доступа к ним спецслужб. Кроме того, во многих штатах допускается мониторинг поведения сотрудников (естественно, только с их согласия) не только на работе, но и в нерабочее время. Этим, видимо, и объясняется включение США в список стран, не обеспечивающих адекватную защиту персональных данных.

Но об этом нужно задуматься еще и нашим гражданам, чиновникам и компаниям, активно использующим Twitter, создающим группы в Facebook, пользующимся почтой Google.Mail и хранящим данные в датацентрах за океаном.

Уже скоро, 28 января, во всем мире (а значит, и в нашей стране) будет отмечаться Международный день защиты персональных данных. Хороший повод вспомнить, что уровень защиты НАШИХ персональные данных от НАС.

Обсудите в соцсетях

Главные новости

28.07 21:45 Краснодарский край запретил все массовые мероприятия численностью более 500 человек
28.07 21:00 Российская сборная взяла пять медалей в пятый день токийской Олимпиады
28.07 20:54 Жители Нью-Йорка получат за первую прививку от ковида по $100
28.07 20:19 «Соединенные Штаты поддерживают народ Белоруссии»: Байден впервые встретился с Тихановской
28.07 19:33 Венгрия примет российских туристов с любой отечественной вакциной
28.07 19:02 Хакасия ужесточила ковид-ограничения для туристов и местных жителей
28.07 18:41 Прокурор просит для Любови Соболь два года ограничения свободы по «санитарному делу»
28.07 18:28 Роскомнадзор потребовал лишить лицензии «8 канал» из Красноярска. Телекомпания обвиняла главу Енисейского управления РКН в давлении на СМИ
28.07 18:22 Роспотребнадзор: полный курс вакцинации прошли 21,3 млн россиян
28.07 18:00 Новосибирский Минюст устроит внеплановую проверку «Тотального диктанта» на соблюдение законодательства РФ
28.07 17:45 Крупный лесной пожар бушует в Анталье. Власти эвакуируют туристов, дым виден в соседних городах
28.07 17:34 Украина отправила Литве колючую проволоку для строительства забора на границе с Белоруссией
28.07 17:23 Число жертв наводнения в Германии превысило 180 человек
28.07 17:17 В Москве задержали руководителя отделения «Другой России им. Лимонова» Ольгу Шалину
28.07 17:08 Главреда The Insider Романа Доброхотова увезли на допрос
28.07 16:56 В Таганроге у подозреваемого в коррупции инспектора ГИБДД нашли его портрет в маршальской форме и с орденом «Победа»
28.07 16:45 С бывшей главы ярославского штаба Навального взыскали почти 300 тыс. рублей в пользу МВД за акцию протеста 23 января
28.07 16:32 Путин поручил начать выплачивать по 10 тыс. рублей семьям с детьми на две недели раньше плана
28.07 16:18 Суд признал законным приговор экс-полицейскому Алексею Смирнову. В 2019 году он расстрелял своих коллег в метро Москвы
28.07 16:04 «Как минимум не верны по своей сути». Кремль прокомментировал слова Байдена о проблемах Путина
28.07 15:47 Первый приговор за сбитого самокатом ребенка вынесли в Петербурге
28.07 15:36 Американская прокуратура продала единственную в мире копию альбома Wu-Tang Clan. Ей владел знаменитый бизнесмен и мошенник Мартин Шкрели
28.07 15:26 ЦИК утвердил новый порядок работы журналистов на выборах. Он позволит избиркомам оказывать дополнительное давление на СМИ
28.07 15:08 S7 объявила о запуске собственного лоукостера в июле 2022 года
28.07 14:23 Nord Stream 2 AG: «Северный поток-2» завершен на 99%
28.07 14:23 Украина ввела карантин для путешественников из России и Индии
28.07 14:00 Блокирование одного гена делает самок тараканов-прусаков непривлекательными для самцов
28.07 13:59 СК завел уголовное дело о клевете на ветерана, который уже был потерпевшим по делу Навального. Ответчиком стал политолог Крашенников
28.07 13:58 В Сочи временно запретили строить многоквартирные дома
28.07 13:50 В Литве на границе с Белоруссией за сутки задержали 171 нелегала. В 2021 году поток мигрантов увеличился в 37 раз
28.07 13:25 На фоне Олимпиады Япония обновила суточный рекорд по заражениям COVID-19 впервые с января
28.07 13:22 В Иркутске при получении взятки в 15 млн рублей задержали замглавы следственного управления МВД Бурятии
28.07 13:09 В Австралии олимпийского медалиста Натана Баггали отправили в тюрьму на 25 лет за контрабанду полтонны кокаина
28.07 13:03 Лидер КПРФ Зюганов на пресс-конференции публично обратился к Владимиру Путину и заявил о «фашитизации» России
28.07 12:51 Программу кешбэка на путевки по России продлили до 31 августа
28.07 12:30 Поставщики кофе предупредили о повышении цен на 10-12% из-за засухи в Бразилии
28.07 12:06 Россиянину дали 9,5 лет колонии за передачу Украине деталей от ракет С-300
28.07 12:00 Составлено сбалансированное меню для морских черепах
28.07 11:57 Роскомнадзор потребовал заблокировать Twitter-аккаунт Любови Соболь
28.07 11:46 Турция и Азербайджан ведут переговоры о создании совместной армии
28.07 11:24 Дым от якутских лесных пожаров достиг Иркутска
28.07 11:15 Против главреда The Insider Романа Доброхотова возбудили дело о клевете на нидерландского журналиста
28.07 10:23 Минюст разрешил россиянам заключать браки дома и в больницах
28.07 10:00 Нейросеть способна обнаруживать на томограммах мозга патологии, вызывающие эпилепсию
28.07 09:44 Президент Байден назвал «реальную проблему» Путина
28.07 09:28 Неизвестные от имени губернатора Белгородской области отправляли письма бизнесменам и просили деньги
28.07 08:40 К главреду The Insider в Москве пришла полиция
28.07 08:29 Бывший премьер Словакии, покинувший этот пост из-за «Спутника V», привился этой вакциной
28.07 08:07 Российские пловцы взяли серебро в эстафете на Олимпиаде в Токио
28.07 07:46 В Приморье среди вакцинированных от коронавируса разыграют квартиры и машины
«АвтоВАЗ» «ВКонтакте» «Газпром» «Зенит» «Мемориал» «Мистраль» «Оборонсервис» «Роснефть» «Спартак» «Яблоко» Абхазия Австралия Австрия Азербайджан Антимайдан Аргентина Арктика Армения Афганистан Аэрофлот Башкирия Белоруссия Бельгия Болгария Бразилия Бурятия ВВП ВКС ВМФ ВПК ВТБ ВЦИОМ Ватикан Великобритания Венгрия Венесуэла Владивосток Внуково Волгоград ГИБДД ГЛОНАСС Генпрокуратура Германия Голливуд Госдеп Госдума Греция Гринпис Грузия ДТП Дагестан Дания Домодедово Донецк ЕГЭ ЕСПЧ Евровидение Еврокомиссия Евромайдан Евросоюз Египет Екатеринбург ЖКХ Израиль Ингушетия Индия Индонезия Интерпол Ирак Иран Испания Италия Йемен КНДР КПРФ Казань Казахстан Калининград Камчатка Канада Каталония Кемерово Киев Кипр Киргизия Китай Коми Конституция Красноярск Кремль Крым Куба Курилы ЛГБТ ЛДПР Латвия Ливия Литва Лондон Луганск МВД МВФ МГУ МКС МОК МЧС Малайзия Мексика Минздрав Минкульт Минобороны Минобрнауки Минпромторг Минсельхоз Минск Минтранспорта Минтруд Минфин Минцифры Минэкономразвития Минэнерго Минюст Молдавия Мосгордума Мосгорсуд Москва НАСА Нигерия Нидерланды Новосибирск Норвегия ОАЭ ОБСЕ ООН ОПЕК Одесса Омск ПДД Пакистан Паралимпиада Париж Пентагон Польша Приморье РАН РЖД РПЦ РФС Росавиация Росгвардия Роскомнадзор Роскосмос Роспотребнадзор Россельхознадзор Россия Росстат Ростех Ростуризм СМИ СССР США Сахалин Сбербанк Севастополь Сербия Сирия Сколково Славянск Сочи Таджикистан Таиланд Татарстан Трансаэро Турция УЕФА Узбекистан Украина ФАС ФБР ФИФА ФСБ ФСИН ФСКН Филиппины Финляндия Франция Хакасия Харьков ЦИК ЦРУ ЦСКА Центробанк Чехия Чечня Швейцария Швеция Шереметьево Эбола Эстония ЮКОС Якутия Яндекс Япония авиакатастрофа автопром алкоголь амнистия арест армия археология астрономия аукционы бактерии банкротство беженцы безработица бензин беспилотник беспорядки биатлон бизнес благотворительность блогосфера бокс болельщики вандализм взрыв взятка вирусы вузы выборы гаджеты генетика гомосексуализм госбюджет госзакупки госизмена демография деньги дети доллар допинг драка евро журналисты законотворчество здоровье землетрясение изнасилование импорт инвестиции инновации интернет инфляция ипотека искусство ислам исследования история казнь кино кораблекрушение коронавирус коррупция космос кража кредиты культура лингвистика литература математика медиа медицина метро мигранты млекопитающие монархия мошенничество музыка наводнение налоги нанотехнологии наркотики наука недвижимость нейробиология некролог нефть образование обрушение общество ограбление оппозиция опросы оружие офшор палеонтология педофилия пенсия пиратство планетология погранвойска пожар полиция похищение правительство право православие преступность продовольствие происшествия психология пытки ракета рейтинги реклама религия ретейл робототехника рубль санкции связь сепаратизм следствие смартфоны смертность социология спецслужбы спутники статистика страхование стрельба строительство суды суицид тарифы театр телевидение теракт терроризм технологии транспорт туризм убийство фармакология физика фоторепортаж футбол хакеры химия хоккей хулиганство цензура школа шпионаж экология экономика экспорт экстремизм этология «Единая Россия» «Исламское государство» «Нафтогаз Украины» «Правый сектор» «Северный поток» «Справедливая Россия» «болотное дело» Александр Бастрыкин Александр Лукашенко Александр Новак Александр Турчинов Алексей Кудрин Алексей Навальный Алексей Улюкаев Алтайский край Амурская область Анатолий Сердюков Ангела Меркель Антон Силуанов Аркадий Дворкович Арсений Яценюк Астраханская область Барак Обама Басманный суд Башар Асад Белый дом Борис Немцов Бутовский полигон Валентина Матвиенко Верховная Рада Верховный суд Виктор Янукович Виталий Милонов Виталий Мутко Владимир Жириновский Владимир Зеленский Владимир Маркин Владимир Мединский Владимир Путин Вячеслав Володин Дальний Восток День Победы Дмитрий Медведев Дмитрий Песков Дмитрий Рогозин Дональд Трамп Евгения Васильева Забайкальский край Интервью ученых Ирина Яровая Иркутская область История человечества Калужская область Кирилл Серебренников Кировская область Конституционный суд Космодром Байконур Краснодарский край Красноярский край Ксения Собчак Ленинградская область МИД России Мария Захарова Михаил Прохоров Михаил Саакашвили Михаил Ходорковский Московская область Мурманская область Надежда Савченко Наталья Поклонская Нижний Новгород Николас Мадуро Нобелевская премия Новосибирская область Новый год Олег Дерипаска Олимпийские игры Ольга Голодец Павел Дуров Палестинская автономия Папа Римский Первый канал Пермский край Петр Порошенко Почта России Приморский край Рамзан Кадыров Реджеп Эрдоган Республика Карелия Ростовская область Самарская область Саратовская область Саудовская Аравия Свердловская область Сергей Лавров Сергей Нарышкин Сергей Полонский Сергей Собянин Сергей Шойгу Следственный комитет Совбез ООН Совет Федерации Ставропольский край Счетная палата Тереза Мэй Тюменская область Франсуа Олланд Хабаровский край Хиллари Клинтон Человек дня Челябинская область Черное море Эдвард Сноуден Элла Памфилова Эльвира Набиуллина Эммануэль Макрон Южная Корея Юлия Тимошенко Юрий Чайка авторское право администрация президента акции протеста атомная энергия баллистические ракеты банковский сектор биология большой теннис визовый режим военная авиация выборы губернаторов газовая промышленность гражданская авиация гуманитарная помощь декларации чиновников домашние животные дороги России информационные технологии климат Земли компьютерная безопасность космодром Восточный крушение вертолета легкая атлетика лесные пожары междисциплинарные исследования мобильные приложения морской транспорт некоммерческие организации общественный транспорт патриарх Кирилл пенсионная реформа пищевая промышленность права человека правозащитное движение преступления полицейских публичные лекции российское гражданство русские националисты русский язык сельское хозяйство сотовая связь социальные сети стихийные бедствия телефонный терроризм уголовный кодекс фигурное катание финансовый рынок фондовая биржа химическое оружие хроники обнуления эволюция экономический кризис ядерное оружие Великая Отечественная война Всемирная организация здравоохранения Вторая мировая война Ирак после войны Ким Чен Ын Революция в Киргизии Российская академия наук Стихотворения на случай Федеральная миграционная служба Федеральная таможенная служба борьба с курением выборы мэра Москвы здравоохранение в России связь и телекоммуникации тюрьмы и колонии Совет по правам человека аварии на железной дороге естественные и точные науки закон об «иностранных агентах» компьютеры и программное обеспечение видеозаписи публичных лекций «Полит.ру» Новые технологии, инновации Сочи 2014 рейтинг Forbes Аль-Каида Кабардино-Балкария Левада-Центр Нью-Йорк Санкт-Петербург отставки-назначения шоу-бизнес Ростов-на-Дону ЧМ-2018 Книга. Знание ВИЧ/СПИД Путин20летназад новость20летназад Apple Bitcoin Boeing Facebook G20 Google iPhone IT Microsoft NATO PRO SCIENCE видео ProScience Театр Pussy Riot Telegram Twitter Wikileaks YouTube

Редакция

Электронная почта: polit@polit.ru
Телефон: +7 929 588 33 89
Яндекс.Метрика Top.Mail.Ru
Свидетельство о регистрации средства массовой информации
Эл. № 77-8425 от 1 декабря 2003 года. Выдано министерством
Российской Федерации по делам печати, телерадиовещания и
средств массовой информации. Выходит с 21 февраля 1998 года.
При любом использовании материалов веб-сайта ссылка на Полит.ру обязательна.
При перепечатке в Интернете обязательна гиперссылка polit.ru.
Все права защищены и охраняются законом.
© Полит.ру, 1998–2021.