Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: Пред. 1 2
RSS
Защита персональных данных по закону
 
Цитата

Между тем, может лишь удивлять мнение 8% респондентов, согласно которому в России отсутствуют технологические решения для адекватной защиты персональных данных. На самом деле, отечественный рынок буквально переполнен всеми возможными решениями для защиты от внешних угроз, а уже несколько лет на нем представлены и системы защиты от инсайдеров и утечек.
Не менее удивляют аналитики, которые делают такие заключения. Все понимают, что  нужно толкать рынок, но не нужно при этом делать такими способами. Проблема утечки информации на адекватном уровне не может быть решена в принципе.
 
"Более того, 71% организаций уже запланировал внедрение новых ИТ-продуктов, позволяющих достичь соответствия с положениями закона."

Интересно, что в статье опять речь идет о внедрении новых ИТ-продуктов, а не о создании системы защиты персональных данных. Так проблема не решается и не ришится никогда. Если подойти глобально к этому вопросу, то каждая организация при ее проверке должна будет  на практике доказать, что принятые ею меры являются необходимыми и  достаточными для сохранения персональных данных. Даже в суде, по поводу иска о разглашении персональных данных, в случае доказанности наличия в организации работоспособной системы защиты данных, ответчик может обойтись, что называется "малой кровью". Случаи утечек данных были и будут всегда, но можно существенно их сократить, и это никак не будет только за счет одних новых ИТ-продуктов. Нужно трезво оценивать проблему и адекватно подходить к ее решению.
 
Infowatch - дочернее предприятие Kaspersky Lab. Комментарии нужны? Методы продвижения, реклама, и прочее - осточник один. Грамотная истерия по действительно существующей и растущей проблеме - и коси бабки.
Теперь о бабках. Стоимость решений Infowatch - порядка 1 миллиона рублей за 100 рабочих станций. У нас сетка в ~400 компов. Я пооблизывался, и посчитал, что тот же функционал можно набрать другим ПО и организационными мерами. Обойдётся уже не в 4,5 миллиона, а в 300 тысяч... Почувствуйте разницу...
 
Цитата
Владимир. пишет:
и посчитал, что тот же функционал можно набрать другим ПО и организационными мерами. Обойдётся уже не в 4,5 миллиона, а в 300 тысяч...

Я думаю можно сделать в вашем случае еще дешевле, скажем это обойдется в $100 -120 тыс.  Что вы заложили в сумму $300 тыс. ?
 
Этот закон ничего не решит и ничего не исправит. Закон нормальный хоть и составили не обсудив с экспертами по безопасности. Не прокатит. Слишком много менять. У исполнителя хребет переломица, будь то ФСТЭК или что еще. Что делать с ушедшими в народ базами, что делать с руководителями, с рук которых уходят новые базы, кто и как будет следить за ними и обвинять в соответствии с принятым законом, кто будет оценивать системы хранения данных, оценивать их защищенность и сооветствие нормам? Плюс, за этим органом надо следить, а то начнеца с борьбы против утечек а закончится взятками и сдачей систем за бабло. Написать закон легко, выполнить сложно.
 
Читайте внимательней, Владимир говорил про 100 тысяч РУБЛЕЙ.
 
Цитата
Axel пишет:
Владимир говорил про 100 тысяч РУБЛЕЙ

Да...   :D не посмотрел про рубли. Но за 100 и даже 300 тысяч рублей действительно надежную систему не построить...  Владимир, говорит также о 4,5 млн. руб. (грубо  $166 тыс.), я предложил за $100 тыс. В принципе в рассматриваемом варианте систему можно построить уже и за $20 тыс. и она будет работать, но соотношение в ней организационно-распорядительных мер и технических средств будет 90/10, а в идеале надо бы 70/30. В решении за 4,5 мил. руб. соотношение видимо обратное 30/70, что на мой взгляд не совсем верно, т.к. главным образом в такой системе надо учитывать человеческий фактор.
 
Те, кто продают сейчас частную информацию, крышуются теми, кто должен ее защищать. Если бы наверху серьезно этим были обеспокоены, распространителей баз данных нашли бы за два дня и наказали. Раз это не так - значит, это кому-то нужно !?
 
Цитата

то каждая организация при ее проверке должна будет на практике доказать, что принятые ею меры являются необходимыми и достаточными для сохранения персональных данных
Для сего и придуман закон. Соблюдаешь - имеешь бумажку для прикрытия от возможных проблем.
 
Да не в техническом аспекте защиты дело. Будет надо, обойдут любую защиту (через тех же легитимных пользователей). Проблема в том, что собирают и хранят все подряд - в той же базе кредитных историй куча информации, которая ну никак не относится к оценке платежеспособности.
Блин, американцы на эти грабли встали в 60-70х, и мы сейчас делаем тоже самое. У них SSN, у нас ИНН, у них ACB, у нас НБКИ. Пора бы уже и на чужих ошибках иногда учиться.

p.s. Как это было в Штатах: http://cybervlad.net/dbnation/02ch.html
 
Цитата
"Гость, 19.12.2006 08:53:01
Те, кто продают сейчас частную информацию, крышуются теми, кто должен ее защищать. Если бы наверху серьезно этим были обеспокоены, распространителей баз данных нашли бы за два дня и наказали."
Абсолютно прав. А то тут многие как на панацею, в первую очередь призывают к скорейшему введению требований по тех. защите информац. систем, которые мол и сделают основной закон работоспособным. Видимо под работоспособностью, господа из фирм и госструктур, специализирующихся по защите и контролю, подразумевают создание очередной системы лицензирования, сертификации, аттестации и пр., т.е. всего того, что создаст для них расширение рынка сбыта мало востребованных услуг  и продуктов. Обычно вся эта формальная аттестация и строгий тех. стандарт создают лишь видимость реальной ситуации с защищенностью, когда сам же "ответственный" контроллер, администратор или управленец и выносит информацию (может даже по команде своих руководителей), зная, что тот, кто призван охранять соблюдение закона как раз и заказал эту информацию или всегда будет в доле. Ведь олигархический и криминальный уклад бизнеса всегда предусматривает незаконные методы конкурентной борьбы, а в таких условиях никакие тех. требования не искоренят рынок так называемых сыскных услуг, где персональные данные, кража информации и прослушка весьма востребованы.
Ещё по поводу тех. требований -  задайтесь сначала вопросом - много ли западных стран, которые как раз первые озаботились охраной персональной информации, в которых сформулированы стандарты именно ТЕХНИЧЕСКОЙ защиты такой информации? И почему же там, при отсутствии законодательных тех. требований, компании США  (даже Боинг, Эрнст и Янг и пр., для кого престиж весьма важен) уже сами публикуют случаи утечки у них персональных данных и уведомляют об этом затронутых лиц, опасаясь крупных штрафов и преследования государства за несоблюдение требования публичности фактов утечки. Попытка же руководства Hewlett Packard украсть личные данные своего же VIP менеджера при внутреннем расследовании (сообщения про HP на странице  http://blog.wired.com/27bstroke6/2006/09/index.html  и более ранние по дате) привела к увольнению нескольких лиц высшего звена из-за опаски преследования всей компании со стороны государства!

Цитата
"Andymion, 19.12.2006 11:24:40
Для сего и придуман закон. Соблюдаешь - имеешь бумажку для прикрытия от возможных проблем"
Это пример понимания, что основная масса законов у нас вводится не по их заявленой цели (здесь - защита прав личности),а для формального наличия или лоббирования чьей либо деятельности - значит и подходить к ним надо условно.
 
ТОварищи, для тех, кто говорит, что СТР-К не обязателен к исполнению не государственным организациями.
В данном случае с законом "О Пероснальных данных" мы может посмотрет закон "Об информаци, информационных технологиях и защите иныформации" от 27.07.06 № 149-ФЗ, а именно п.4 статьи 16:"Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить" и далее то, что надо обеспечивать. Т.е. в данном случае СТР-К становится обязательным для защиты персональных данных
 
[FONT=Arial][B]БУКАФ МНОГА!!! НИАСИЛИЛ!!!!! О_о
 
2 Luka
"1. Когда люди говорят, что требования закона неконкретны и именно это мешает им его применять, то возникает вопрос, а понимают ли они, что такое закон? Закон и не должен перечислять конкретные требования. Он требует, чтобы информация была защищена. Все. А ждать, что в законе будут перечислены технические рекомендации... До второго пришествия можно ждать."

В законе конечно не должны перечисляться конкретные требования, но должны быть сформированы подзаконные акты, которые превносят конкретику (например не всё ясно с механизмом трансграничной передачи персональных данных), иначе мы рискуем получить те же проблемы, которые имеем с законом об ЭЦП (конкретно расписывать не буду, есть концепция Росинформтехнологии и Матюхин в докладах не раз упоминал их)
имхо, СТР-К требуется новая редакция в свете вышедших новых законов в области ИБ
 
Где в интернете можно почитать СТР-К? Горит диплом!
 
>Где в интернете можно почитать СТР-К? Горит диплом!

http://www.networkdoc.ru/doc/rdgtc.html
 
интересно наши законотворцы будут всегда опаздывать в своей деятельности или все ж найдут силы догнать цивилизованный мир?
 
>>Где в интернете можно почитать СТР-К? Горит диплом!

>http://www.networkdoc.ru/doc/rdgtc.html


Вот тут прочитайте :  http://www.fstec.ru/_razd/_pismo.htm   :)
 
Цитата
js пишет:
Цитата
Гость пишет:
2. СТР-К никогда и не был обязательным для гос структур. Буквочка "К" означает конфиденциальной.


А ты спроси у тех госструктур, которых ФСТЭК проверял и на соответствие чему он их проверял.

Цитата
js пишет:
Требования СТР-К обязательны для исполнения по защите государствнных информационных ресурсов.

Господа, давайте повернемся к официалу:
1.СТР-К это документ, содержащий требования по защите информации, которая подлежит защите в соответствии с законодательством РФ(служебная информация, персональные данные и др. в соотв. с закон-ом).
2.СТР-К это документ, содержащий рекомендации по защите информации, необходимость защиты которой определяет ее собственник.

Ну, а в жизни ... не везде, мягко говоря, хорошо обстоят дела с категорированием информации. Поэтому госорги, как писал Алексей "имеют" не по закону, а по понятиям :-)
 
Помогите инфой!
Знаю что с моего  дом. комп и ноута скачивают почту (вход и исход.)
Подключение беспроводное - WiFi
Как определить кто качает и как защититься?
Может кто помочь?
Спасибо!
Цитата
Гость пишет:
Помогите инфой!
Знаю что с моего  дом. комп и ноута скачивают почту (вход и исход.)
Подключение беспроводное - WiFi
Как определить кто качает и как защититься?
Может кто помочь?
Спасибо!
Страницы: Пред. 1 2
Читают тему (гостей: 1)