ICO: шифрование данных на ноутбуках является главной мерой безопасности

image

Теги: ICO, личные данные, шифрование

Организации The Association of School and College Leaders и Holly Park School нарушили закон о защите информации, не зашифровав хранящиеся в ноутбуках данные.

Британское ведомство Information Commissioner Office (ICO) заявило о двух организациях, которые нарушили закон о защите информации Data Protection Act, не зашифровав данные, хранящиеся в ноутбуках.  

Организация The Association of School and College Leaders (ASCL) нарушила закон в мае 2011 года. Инцидент был связан с кражей ноутбука из дома сотрудника организации в Йоркшире. В результате расследования ICO было обнаружено, что хотя на устройстве было установлено программное обеспечение для шифрование данных, решение – шифровать данные или нет - должен был принять сотрудник. По мнению ICO, такая политика по отношению к шифрованию данных всегда приводит к неприятным инцидентам. На момент кражи устройства, на нем хранились незашифрованные данные 100 сотрудников организации, включая подробную информацию об их членстве в союзе ASCL, а также данные об их физическом и психологическом здоровье.  

Вторая организация Holly Park School в Барнете нарушила закон, когда ноутбук с незашифрованной информацией был украден из школы 1 мая 2011 года. На устройстве хранились имена учеников, домашние адреса, оценки за экзамены и определенная информация, касающаяся здоровья учащихся. После расследования инцидента представители ICO обнаружили, что на момент кражи в школе не предусматривалась политика защиты информации.

По словам действующего главы ICO Сэлли Анны Пул (Sally Anne Poole), в связи с этими инцидентами обе организации приняли меры для обеспечения надлежащей защиты личной информации. Устройства, на которых хранятся конфиденциальные данные, включая ноутбуки, будут надлежащим образом зашифрованы. Организации также проведут ряд проверок для того, чтобы удостоверится, что их сотрудники придерживаются политики и процедур, обеспечивающих безопасное использование персональной информации.

или введите имя

CAPTCHA
11-10-2011 15:00:58
А у нас в рашке все до наобород Если используешь шифрование и нету на это специального разрешения то получаешь штраф, Если разрабатываешь проги по шифрованию без лицензии от ФеСеБе то если повезет то отделаешься штрафом, Если обслуживаешь криптографические системы без лицензии то если повезет получишь штраф Другими словами: установил хомяку труекрупт и рассказал как пользоваться - штраф
0 |
gggggg
11-10-2011 15:43:24
Сказки поменьше рассказывай, никто в РФ не запрещает в личных целях шифроваться, и не в личных тоже. Если не надо гостайну защищать.
0 |
Володья
11-10-2011 20:03:06
Блин, когда сделают TrueCrypt шифрование загрузочных разделов во FreeBSD
0 |
K
11-10-2011 21:41:42
Вот это Вы будете в суде доказывать. Инфа 100%
0 |
55422477443320114
12-10-2011 12:46:38
В РФ нельзя без лицензии заниматься предпринимательской деятельностью по всяким криптоуслугам. Все остальные страшилки - бред и домыслы.
0 |
этоттам
12-10-2011 06:22:00
Другими словами: установил хомяку труекрупт и рассказал как пользоваться - штрафлолшто? труекрипт, бесткрипт, FreeOTFE и тыщи оных в РФ средствами шифрования не являются, т.к. реализуют не ГОСТ. Соответственно юридически это программы не шифрования, а кодирования (преобразования) информации. Штраф ты получишь, если будешь продавать реализацию ГОСТа без сертификации.
0 |
55422477443320114
12-10-2011 12:50:10
руекрипт, бесткрипт, FreeOTFE и тыщи оных в РФ средствами шифрования не являются, т.к. реализуют не ГОСТ. Ну и знатоки тут собрались. Один бредит, доказывая, что за трукрипт в РФ штрафуют, другой бредит, доказывая что в РФ средства шифрования - только ГОСТ. Но бредят оба.
0 |
этоттам
12-10-2011 17:02:24
Но бредят оба.А не потрудится ли месье обосновать своё утверждение? Небольшой пример: Для оказания услуг в области криптозащиты информации необходимо их оказывать при помощи сертифицированных СКЗИ. Сертификацию пройдут только СКЗИ, соответствующие ГОСТ 28147-89/34.10-2001/34.11-2001. Отсюда вывод, что любой де-факто криптор (например на алгоритмах AES или RC4), но не ГОСТ, юридически на территории РФ не может быть использован как юридически значиммое средство криптозащиты, т.е. его и нельзя объявлять как СКЗИ, нельзя с его помощью оказывать услуги шифрования. Де-юре это кодирование. А де-факто - криптография
0 |
HL
13-10-2011 08:38:48
Первый абзац у вас верный, а выводы во втором неверные. Есть сертифицированные СКЗИ (реализующие ГОСТ), а есть несертифицированные. Несертифицированные СКЗИ - тоже СКЗИ, но на них нельзя построить сертифицированный по ГОСТу программно-аппаратный комплекс, т.е. де-факто информация на твоём сервере защищена, а де-юре нет. Т.е. если ты хранишь на таком сервере данные, которые по закону положено защищать (по законодательным нормам попадают под один из классов защиты), то ФСБ может тебя натянуть по самые уши. Если ты защищаешь таким образом информацию, которая не попадает под обязательно защищаемую по ФЗ (т.е. в личных целях) - никто тебе этого не запрещает. Аналогично, законом *не во всех случаях* не признаётся ЭЦП, полученная при помощи несертифицированных СКЗИ (т.н. неквалифицированная или простая электронная подпись - см. N63-ФЗ статья 9). Да! С апреля 2011г. признаётся ЭЦП, полученная при помощи несертифицированных СКЗИ! Все эти случаи описаны в законе. Учите матчасть. А точнее, N63-ФЗ от 06.04.2011 - закон об электронной подписи: http://www.rg.ru/2011/04/08/podpis-dok.html
0 |
HL
13-10-2011 08:49:30
Кстати, если что, то при попадении "под класс защиты" сертифицированным должно быть не только СКЗИ, но и железо, на котором всё хранится. Т.е. его тоже нужно покупать у поставщика, у которого есть лицения на производство и сборку таких компьютеров и к железке (серверу) должен прилагаться соответствующий сертификат. Лицензирование, естественно, платное. В общем, как обычно в нашей стране, всё, что делается "на благо народа" находится далеко за гранью маразма. Ибо всё было бы хорошо, но под классы защиты попадают слишком многие - приходится использовать дорогостоящие средства защиты там, где это нафиг не нужно. Причина очевидна - так больше откаты в ФСБ, окружающих его структурах и карманных аккредитованных организациях.
0 |