ReignVox.ru

[War1ock]

Итак господа!!! Не понимаю почему все молчат =)

http://www.duma.gov.ru/index.jsp?t=news ... =7664.html

Как видим поправки к закону приняты в 3-м чтении. Опустим полемику по поводу подпишет президент или нет - думаю что ответ очевиден (хотя у нас все возможно).

Авторитетное мнение хотелось бы услышать по поводу следующих вопросов:

1. Как отреагирует бизнес на подобные события? Поспешат ли операторы ПДн выбрать пораньше испольнителя и заключить заранее договоры на разработку системы защиты ИСПДн, чтобы конец контракта был не пожже окончания 2010 года? Или же опять бюджеты на систему защиты ИСПДн будут смещены на конец 2010 года?

2. С учетом сдвига срока Пришествия регуляторов, не может ли это косвенно означать, что они (Регуляторы) будут более жеще и строже в отношении тех кто "не успел" привести свои системы в соответствие с ФЗ-152?

3. Понятно что если срок передвинут на год, то сдвиг в 2010 году еще на год это из области фантастики. Поэтому естественно, что в следующем году (думаю даже в самом его начале) актуальность реализации проектов по защите ПДн в компаниях различного уровня возрастет в несколько раз. А как известно - спрос рождает предложение. Не означает ли это что цены на подобные проекты ощутимо возрастут? (знаю несколько банков в москве и питере в которых стартанули такие проекты и их стоимость от 6 до 9 миллионов рублей ... а что же будет при повышении цен?). Как отреагирует рынок?


Просьба экспертов ReignVox ответить на данные вопросы. Т.к. думаю интересно будет очень многим.

[Danny]

Вопросы интересные и скорее всего точных ответов на них нет (прогнозы - дело неблагодарное), высказать же свое мнение вполне допустимо, итак:
1) Как отреагирует бизнес -я бы не стал обобщать все компании, так как многие компании уже начали работы по созданию системы защиты ПДн; многие планируют заняться этим вопросом в ближайшее время, чтобы закончить к концу 2010 года; некоторые продолжат занимать выжидательную позию и ничего не делать (куда без них). Предсказать процентное соотношение этих категорий операторов ПДн не берусь, но предполагаю, что большинство приступит к решению задач в 2010 году.
2) Отношение Регуляторов к нарушителям. Можно предположить более жесткое отношение контролирующих органов к нарушителям закона - так как у последних к началу 2011 года аргументов, объясняющих отсутствие защиты ПДн, уже не останется (но лучше спросить у самих Регуляторов).
3) О повышении цен. Не думаю, что цены поползут вверх, так как уже есть практика защиты персональных данных в компаниях различных отраслей деятельности, появились определенные методики и наработки, за счет которых возможна минимизация временных и финансовых затрат.

Повторюсь, что это сугубо мое личное мнение, если у кого-то есть другие взгляды на данные вопросы - присоединяйтесь к обсуждению.

[War1ock]

Согласен, что прогнозы по данным вопросам делать довольно сложно. Но сдругой стороны у каждой компании занимающей данную нишу они есть =)

А вот мнения обязательно хочется почитать.

[Protector83]

Официально вступили в силу попправки к закону "О персональных данных" - срок выполнения требований ФЗ-152 продлен на один год -до 01.01.2011 года.
У операторов ПДн появился дополнительный год на проведение работ по защите ПДн.

[Nikita_IT]

Я не совсем понял про отмену использования криптографических средств - это получается, что использование шифрования необязательно и оператор ПДн сам определяет необходимость его применения. Разъясните, пожалуйста?

[Danny]

Я не совсем понял про отмену использования криптографических средств - это получается, что использование шифрования необязательно и оператор ПДн сам определяет необходимость его применения. Разъясните, пожалуйста?

Это не совсем так. Дело в том, что упоминание об использовании криптографических средств в законе о персональных данных допускало двоякое толкование о необходимости шифровать данные.

Теперь нужно руководствоваться подзаконными актами. В частности, в ПП №781 сказано:
"...Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации..."

Требования к обеспечению безопасности ПДн подробно описаны в методических документах ФСТЭК и ФСБ.

Таким образом, на основании предъявляемых к ИСПДн требований определяется необходимость шифрования данных. Т.е. по большому счету ничего существенно не изменилось.

[tester]

Наша компания предоставляет пользователям услуги сотовой связи. На справочном терминале находящимся в публичном месте через номер телефона абонент может получить состояние своего лицевого счета.
Иными словами любой может подойти набрать интересующий его номер телефона и на терминале выведется информация о задолженности абонента. Авторизации при этом никакой нет (только номер телефона).
Фамилия и имя туда не выводится, пишем номер получаем сумму долга.

Это корректно с точки зрения закона или нет ?

[Protector83]

Закон о персональных данных дает следующее определение персональных данных:
персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

По номеру телефона и лицевому счету определить физическое лицо нельзя, поэтому в этом случае получаются обезличенные данные. А в соответствии с ст.7, ФЗ-152:
2. Обеспечение конфиденциальности персональных данных не требуется:
1) в случае обезличивания персональных данных;
2) в отношении общедоступных персональных данных.