Интернет безопасность Специалисты по ИБ: Медведевские требования по защите персональных данных невыполнимыСпециалисты по ИБ: Медведевские требования по защите персональных данных невыполнимы
Эксперты по информационной безопасности без энтузиазма встретили подписание Дмитрием Медведевымновых нормативов обработки персональных данных, содержащихся в постановлении главы правительства носит №1119.
Управляющий партнер агентства «Емельянников, Попова и партнеры» Михаил Емельянников напоминает, что постановление №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» содержит «характерные для последних регламентирующих документов в области информационной безопасности вообще и персональных данных в частности проблемы и недостатки».
Оно активно критиковалось специалистами-практиками еще на этапах подготовки документа, обсуждения и оценки регулирующего воздействия, однако, мнение профессионалов так и не было услышано, сожалеет эксперт.
Напомним, что постановление №1119 было подписано Дмитрием Медведевым 1 ноября 2012 г.
«Содержание постановления не соответствует требованиям ФЗ «О персональных данных», - говорит эксперт. Этот закон поручал правительству установить уровни защищенности персональных данных при их обработке в информационных системах и требования, исполнение которых обеспечивает установленные уровни защищенности, в том числе с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которой обрабатываются персональные данные, актуальности угроз безопасности персональных данных. Однако, в постановлении не указаны способы и порядок учета возможного вреда субъекту и вида деятельности оператора при реализации защитных мер. Эта работа перекладывается на самого оператора, у которого, как правило, для этого нет ни специалистов, ни должного понимания вопроса.
«Медведевские» нормы по защите персональных данных столкнулись с жесткой критикой экспертов по ИБ
Массу вопросов вызывает используемая в «Требованиях» классификация возможных типов угроз безопасности в зависимости от наличия недекларированных возможностей (НДВ) в системном и прикладном программном обеспечении. При этом никаких требований к сертификации операционных систем и приложений, обрабатывающих персональные данные, ни в постановлении, ни в других нормативных актах не выдвигается, а средства защиты информации, даже и прошедшие оценку соответствия в форме обязательной сертификации, угрозы использования злоумышленником недекларированных возможностей (НДВ) никак не нейтрализуют и нейтрализовать не могут. В чем тогда смысл выделения именно этих типов угроз и как с ними бороться, остается непонятным, удивляется Емельянников.
Само понятие недекларированных возможностей для абсолютного большинства операторов является непонятным, и совершенно неясно, как они будут самостоятельно оценивать актуальность для себя подобных угроз. Сомнительным представляется радикальное влияние на безопасность персональных данных таких предлагаемых постановлением мер, как назначение должностного лица или создание структурного подразделения, ответственных за обеспечение безопасности персональных данных в информационной системе. Как это скажется на возможности нейтрализации угроз использования недекларированных возможностей операционных систем и приложений, по мнению эксперта, совершенно не ясно.
«Требования оперируют терминами, определения которых отсутствуют. Так, непонятно, что подразумевается под электронным журналом сообщений (п.15 требований) и электронным журналом безопасности (п.16 требований). Это одни и те же журналы или разные? Если речь идет о логах, то о каких – операционной системы, приложений, средств защиты информации? Всех или части из них? Ответов на эти вопросы в документе нет», - продолжает Емельянников.
Не используется в российском законодательстве, в том числе в трудовом, термин «сотрудники оператора», Постановлением это понятие вводится, но не дается его определение.
Постановление вводит отсутствующее в законе 152-ФЗ понятие «общедоступные персональные данные», к тому же сводящие их только к указанным в ст.8 (общедоступные источники). Сведения, подлежащие опубликованию и обязательному раскрытию, под эту категорию не подпадают, как и сведения из ЕГРЮЛ и ЕГРИП, являющиеся общедоступными в соответствии с Федеральным законом о государственной регистрации юрлиц и индивидуальных предпринимателей. Как быть с ними, опять остается неясным.
Ранее ИБ-эксперт Алексей Лукацкий в своем блоге выражал тревогу, что при соблюдении буквы постановления становится незаконным использование мобильных устройств для персональных данных: даже для минимального уровня защищенности постановление устанавливает режим безопасности, при котором планшет с персональными данными должен находиться в помещении, куда посторонние не имеют доступа.
Таким образом, становится невозможным использование планшетов и других мобильных устройств сотрудниками ГИБДД, таможенниками или врачами, работающими вне особых особо охраняемых помещений. Кроме того, под вопросом оказывается возможность организации точек продаж в торговых или дилерских центрах, то есть вне офиса организации, где она могла бы обеспечить предписываемый законом уровень защищенности персональных данных.
«Не могу не согласиться с Алексеем Лукацким в том, что «Требования» фактически запрещают использовать для обработки персональных данных мобильные устройства вне контролируемой оператором территории», - говорит Михаил Емельянников.
Документ содержит обязательное для всех уровней защищенности требование о таком режиме безопасности помещений, в которых размещена информационная система, при котором невозможно проникновение или пребывание в них посторонних лиц. Между тем любой современный мобильный телефон или коммуникатор – это уже информационная система персональных данных, не говоря уже о планшетах и ноутбуках, замечает эксперт.
Наконец, говорит эксперт, постановление сможет заработать в полном объеме только после принятия соответствующих актов ФСБ, ФСТЭК , предусмотренных ч.4 ст.19 152-ФЗ, а также федеральными органами исполнительной власти, осуществляющими функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органов государственной власти субъектов Российской Федерации, Банка России, органов государственных внебюджетных фондов, иных государственных органов в части определения актуальных угроз безопасности персональных данных (ч.5 ст.19 152-ФЗ, п.2 Требований), которые отсутствуют и неизвестно когда будут приняты.
До принятия дополнительных актов оператору персональных данных практически невозможно выполнить требования, установленные постановлением №1119, резюмирует эксперт.
Источник: http://safe.cnews.ru/news/top/index.shtml?2012/11/07/508894
|
Эксперты по информационной безопасности без энтузиазма встретили подписание Дмитрием Медведевымновых нормативов обработки персональных данных, содержащихся в постановлении главы правительства носит |
РэдЛайн, создание сайта, заказать сайт, разработка сайтов, реклама в Интернете, продвижение, маркетинговые исследования, дизайн студия, веб дизайн, раскрутка сайта, создать сайт компании, сделать сайт, создание сайтов, изготовление сайта, обслуживание сайтов, изготовление сайтов, заказать интернет сайт, создать сайт, изготовить сайт, разработка сайта, web студия, создание веб сайта, поддержка сайта, сайт на заказ, сопровождение сайта, дизайн сайта, сайт под ключ, заказ сайта, реклама сайта, хостинг, регистрация доменов, хабаровск, краснодар, москва, комсомольск |
Дайджест новых статей по интернет-маркетингу на ваш email
Новые статьи и публикации
- 2025-12-02 » Когда ошибка молчит: как бессмысленные сообщения ломают пользовательский опыт
- 2025-12-02 » 9 лучших бесплатных фотостоков
- 2025-12-02 » UTM-метки: ключевой инструмент аналитики для маркетолога
- 2025-12-02 » ПромоСтраницы Яндекса: Что такое и для чего служит
- 2025-12-02 » Метатеги для сайта: исчерпывающее руководство по Title, Description, Canonical, Robots и другим тегам
- 2025-11-26 » Оценка эффективности контента: превращаем информационный балласт в рабочий актив
- 2025-11-26 » 10 причин высокого показателя отказов на сайте
- 2025-11-26 » Когда и зачем обновлять структуру сайта
- 2025-11-26 » Скрытые демотиваторы: как мелочи разрушают эффективность команды
- 2025-11-26 » Зачем запускать MVP и как сделать это грамотно?
- 2025-11-20 » Половина российских компаний сократит расходы на транспорт и маркетинг в 2026 году
- 2025-11-20 » Перенос сайта с большим количеством ссылок
- 2025-11-20 » Перелинковка сайта: Что такое и как ее использовать
- 2025-11-20 » Критерии выбора SEO-специалиста и подрядчика для продвижения сайта
- 2025-11-20 » Применение искусственного интеллекта в рекламных агентствах: комплексное исследование трендов 2025 года
- 2025-11-19 » Геозапросы по-новому: как покорить локальное SEO с помощью ИИ
- 2025-11-14 » Консалтинг: сущность и ключевые направления
- 2025-11-14 » Онлайн-формы: универсальный инструмент для сбора обратной связи
- 2025-11-14 » Факторы конверсии органического трафика
- 2025-11-14 » Планирование рекламного бюджета: самостоятельный подход
- 2025-11-14 » Авторизация на сайте: как выбрать решение для удержания клиентов и сохранения продаж
- 2025-11-13 » Эффективные методы стимулирования клиентов к оставлению положительных отзывов
- 2025-11-13 » Налоговая реформа — 2026: грядущие изменения для предпринимателей
- 2025-11-13 » Альтернативы мессенджерам: что выбрать вместо Telegram и WhatsApp
- 2025-11-13 » Маркировка рекламы для начинающих: полное руководство по требованиям ЕРИР
- 2025-11-13 » ИИ не отберет вашу работу — её займет специалист, владеющий искусственным интеллектом
- 2025-10-29 » Как оценить эффективность работы SEO-специалиста: практическое руководство для маркетологов и владельцев бизнеса
- 2025-10-29 » Киберспорт как маркетинговый инструмент: стратегии привлечения геймеров
- 2025-10-29 » Как говорить с аудиторией о сложном
- 2025-10-29 » Что такое доказательства с нулевым разглашением (ZKP) и их роль в блокчейне
Большинство людей, стремящихся к цели, способны скорее сделать одно большое усилие, чем упорно идти избранной дорогой; из-за лени и непостоянства они часто утрачивают плоды лучших своих начинаний и дают обогнать себя тем, кто отправился в путь позднее, чем они, и шел медленней, но зато безостановочно Лабрюйер Жан де (1645-1696) - французский писатель, мастер афористической публицистики |
Мы создаем сайты, которые работают! Профессионально обслуживаем и продвигаем их !
Как мы работаем
Заявка
Позвоните или оставьте заявку на сайте.
Консультация
Обсуждаем что именно Вам нужно и помогаем определить как это лучше сделать!
Договор
Заключаем договор на оказание услуг, в котором прописаны условия и обязанности обеих сторон.
Выполнение работ
Непосредственно оказание требующихся услуг и работ по вашему заданию.
Поддержка
Сдача выполненых работ, последующие корректировки и поддержка при необходимости.
Мы создаем практически любые сайты от продающих страниц до сложных, высоконагруженных и нестандартных веб приложений! Наши сайты это надежные маркетинговые инструменты для успеха Вашего бизнеса и увеличения вашей прибыли! Мы делаем красивые и максимально эффектные сайты по доступным ценам уже много лет!
Комплексный подход это не просто продвижение сайта, это целый комплекс мероприятий, который определяется целями и задачами поставленными перед сайтом и организацией, которая за этим стоит. Время однобоких методов в продвижении сайтов уже прошло, конкуренция слишком высока, чтобы была возможность расслабиться и получать \ удерживать клиентов из Интернета, просто сделав сайт и не занимаясь им...
Мы оказываем полный комплекс услуг по сопровождению сайта: информационному и техническому обслуживанию и развитию Интернет сайтов.
Контекстная реклама - это эффективный инструмент в интернет маркетинге, целью которого является увеличение продаж. Главный плюс контекстной рекламы заключается в том, что она работает избирательно.