Защита информации в России: нет ни законов, ни кадров

[5611]

Законодательство, заметно отстающее от естественного развития рынка, вкупе с катастрофической нехваткой кадров является основными факторами, сдерживающими развитие рынка защиты информации в России. Вот так кратко можно резюмировать итоги завершившейся в Суздале 10-й международной конференции "Комплексная защита информации".
Слово "комплексный" прочно вошло в словарный запас любого представителя ИТ-сообщества. Сегодня не найдется ни одной фирмы, в чьих бы проспектах на этом слове не делался основной акцент, а любой менеджер обязательно произнесет его с десяток раз, объясняя клиенту "правильный" подход к работе, который должен быть непременно комплексным. В сфере защиты информации это слово встречается особенно часто, и никто не будет спорить, что защита должна быть именно комплексной, что отражено, например, в названиях практически всех конференций, посвященных данной проблеме.
Однако это означает, что на подобном мероприятии будет рассматриваться огромное количество вопросов, разобраться в которых отдельно взятому человеку просто не по силам. Тем не менее, именно такие конференции помогают выявить действительно больные вопросы, а представителям отрасли позволяют сориентироваться и определить дальнейшее развитие рынка в целом и своего бизнеса в частности.
С 4 по 7 апреля в Суздале проходила уже 10-я и юбилейная конференция "Комплексная защита информации". Благодаря особому статусу (заседание комиссии по информационной безопасности координационного совета государств-участников СНГ по информатизации при РСС - региональном содружестве в области связи), конференция традиционно собирает множество представителей различных силовых структур, государственных организаций, институтов, чиновников различного уровня, тогда как коммерческие организации представлены не так широко, как на других похожих мероприятиях.
В результате этого официальная и полуофициальная части мероприятия были полны лозунгов, призывающих к борьбе с "иностранными шпионами, угрожающими не только благополучию союзного государства России и Белоруссии, но и всему СНГ", а на круглых столах некоторые доклады были понятны исключительно узкопрофильным специалистам. Однако в неофициальной обстановке те же люди рассказывали гораздо более интересные вещи.
Правовая бездна
Уже на пленарном заседании выступающими были обозначены главные вопросы, стоящие перед отраслью. Проведенные позже круглые столы и разговоры в неофициальной обстановке четко обозначили две основные проблемы. Первая – несовершенство законодательства в сфере защиты информации, вторая – хронический недостаток специалистов безопасности, а также тех, кто должен их готовить.
Отсутствующего Валерия Комиссарова, председателя комитета государственной Думы по информационной политике, представлял советник комитета Борис Кристальный. В своем выступлении он констатировал, что парламент не принимает достаточное количество законов в информационно-коммуникационной сфере, к которой относится и информационная безопасность. Говоря о ближайших перспективах, он выразил надежду, что уже в ходе весенней сессии будут приняты закон "О персональных данных" и закон "Об информации, информационных технологиях и защите информации", который по замыслу правительства должен заменить собой ФЗ "Об информации, информатизации и защите информации" и "Об участии в международном информационном обмене". В законопроекте "Об информации, информационных технологиях и защите информации", в частности, сформулированы основные положения о доступе граждан и организаций к необходимой им информации, в том числе и с использованием новых технологических возможностей.
Отвечая на вопрос корреспондента CNews о причинах задержки принятия закона "О персональных данных", Борис Кристальный отметил, что потребовалось внесение большого количества поправок, потому что при разработке закона не всегда следовали европейской конвенции о защите персональных данных. Например, конвенция требует наличия независимого специального органа, контролирующего работу с персональными данными, но в законопроекте этот вопрос был освещен недостаточно четко. Тем не менее, он выразил уверенность, что уже в эту сессию, то есть до конца июня, данный закон будет принят парламентом.
Другой важной проблемой является отсутствие закона "Об электронном документообороте". Как оказалось, несмотря на то, что о его необходимости рынок чуть ли не кричит, сегодня разработка такого закона официально не ведется, об этом CNews стало известно сразу из двух достоверных источников. Однако Борис Кристальный поделился информацией, что две недели назад в комитете Госдумы по информационной политике было решено создать рабочую группу с привлечением экспертов, которая должна начать работу над законом. Тем не менее, учитывая время разработки, согласования и принятия, можно с уверенностью сказать, что в ближайшее время такой закон в России не появится. Борис Кристальный также высказал свою точку зрения на еще один вопрос, интересовавший CNews. Как известно, российские депутаты внесли поправки в закон "Об информации, информационных технологиях и защите информации", предусматривающие постепенную замену в государственных информационных системах, обеспечивающих стратегические отрасли и особо опасные (важные) объекты, западного ПО отечественными аналогами. При работе с гостайной и сегодня накладываются жесткие ограничения на используемые программные и аппаратные средства, а в случае невозможности замены российским аналогом проводится тщательное тестирование. Данная поправка, по его словам, еще не рассматривалась, так как поступила с большим опозданием, но обязательно будет рассмотрена.
Также проблемам законодательства свое выступление посвятил Владимир Голобоков, начальник отдела реестров сертификатов ключей подписей ФАИТ, особое внимание в котором уделил вопросам ЭЦП.
Он отметил, что на сегодняшний день готова вся технологическая база для создания российской национальной инфраструктуры открытых ключей на базе удостоверяющего центра, который, как известно, строится как единый, территориально-распределенный по федеральным округам. В субъектах федерации предполагается развернуть центры регистрации УЦ УФО, реализующие, в свою очередь, технологию "одного окна" по доступу к государственным информационным ресурсам.
Программно-аппаратные комплексы для тиражирования технологии, отработанной в "пилотной зоне" Москва (федеральный центр) - Санкт-Петербург (федеральный округ) – Калининград (субъект федерации), готовы к вводу в эксплуатацию. Однако существует проблема закрепления функции удостоверяющего центра уполномоченного федерального органа (УФО).
В настоящий момент в рабочем порядке проходит согласование проект указа Президента "О необходимых мерах в области использования ЭЦП", над которым совместно работали ФАИТ, МЭРТ и Мининформсвязи России. Данный указ призван восполнить пробелы, существующие в действующем законодательстве, регламентирующем использование ЭЦП, такие как: отсутствие функции федерального удостоверяющего центра, аккредитация УЦ, работающих с органами государственной власти, система страхования рисков и др. Как только правительство закрепит функцию удостоверяющего центра за уполномоченным федеральным органом, будут все основания для введения УЦ УФО в эксплуатацию (в настоящее время УЦ УФО в опытной эксплуатации). Предполагается, что указ будет подписан этой весной, а до конца года региональные компоненты УЦ УФО будут введены в эксплуатацию во всех федеральных округах.
Кроме того, не решена проблема электронных регламентов. В конце прошлого года было подписано решение между Росинформтехнологии, управлением информатизации правительства Москвы и Министерством транспорта правительства Московской области о взаимодействии в создании электронных регламентов московского региона. Отработанную технологию позже планируется распространить, с соответствующими изменениями, в регионы.
Зарабатывать, чтобы выжить
По мере развития информационно-коммуникационных технологий все острее встает проблема нехватки квалифицированных специалистов в сфере информационной безопасности (ИБ). По самым грубым оценкам, которые привел в своем докладе Виктор Горбатов, зам. декана факультета информационной безопасности МИФИ, спрос только со стороны госструктур более чем вдвое превышает предложение. В настоящее время все вузы России выпускают не более 2500 молодых специалистов, тогда как общая потребность страны составляет около 15 тыс. в год. Первые кафедры и факультеты по ИБ появились в середине 90-х, и к настоящему моменту у них состоялось только несколько выпусков. Например, один из ведущих вузов по информационной безопасности МИФИ выпустил всего порядка 400 специалистов ИБ, и еще примерно 6400 человек прошли курсы переподготовки.
Однако нехватка специалистов является не главной проблемой. "Во многих вузах практически отсутствует современная материально-техническая база, недостаточно учебных и практических пособий и, наконец, острый дефицит в грамотном квалифицированном преподавательском составе" - говорит CNews профессор Александр Шелупанов, директор Центра технологий безопасности, заведующий кафедрой ИБ Томского госуниверситета систем управления и радиоэлектроники (ТУСУР). По его словам, отсутствие современной учебной и лабораторной баз является сегодня, наверное, одной из главных проблем. "Совсем недавно в одном институте пришлось приостановить обучение по направлению ИБ по той причине, что студентов просто не на чем было обучать. Есть примеры, когда в вузах есть специальности ИБ, но всего один преподаватель-специалист в этой области. О каком качестве подготовки специалистов можно рассуждать в таких ситуациях?!" - говорит он.
С одной стороны, фирмы - производители заинтересованы в том, чтобы "подсадить" студентов на свою продукцию, как на иглу, но с другой, ни одна фирма не в состоянии обеспечить учебные лаборатории всех вузов своими решениями. "Потребовалось много сил, чтобы наши лаборатории были оснащены самым современным оборудованием. Отечественные разработчики, например, компании ОКБ САПР, Aladdin, "Анкад", "Смертехникс" охотно помогают нам, но многое приходится покупать за свои деньги. Например, только в 2005 году из собственного кармана нами было потрачено более 800 тыс. рублей на создание учебно-методических пособий для студентов и гонорары преподавателям, их написавших. Мало кто из вузов может похвастаться чем-то подобным. Мы это мы можем себе позволить только благодаря "Центру технологий безопасности" – научно-производственной и коммерческой структуре, специализирующейся на теоретических и практических проблемах безопасности и организованной на базе ТУСУРа. В Центре студенты не только работают и практикуются, но и обучаются одновременно" - делится своим опытом профессор Шелупанов.
Так называемая "оксфордская модель системы образования", принятая в ТУСУРе – когда на базе университетов создаются инновационные компании наукоемкого бизнеса, является, по мнению профессора Александра Шелупанова, реальной возможностью для вузов решить многие, в том числе и финансовые проблемы.
К сожалению, отсутствие целевой межведомственной государственной программы финансирования подготовки специалистов по защите информации не позволяет говорить о принципиальном и качественном улучшении ситуации в ближайшие годы. Говоря о путях решения проблемы подготовки кадров ИБ, специалисты в первую очередь обращают внимание на необходимость создания факультетов повышения квалификации для преподавателей, а также специализированных региональных центров подготовки и переподготовки. Привлечение специалистов из организаций различных форм собственности, в том числе силовых структур, как это часто делается, не может полностью решить проблему преподавания – только одну из многих. Участие государства в решении финансовых, организационных и иных проблем подготовки кадров ИБ в вузах России пока не ощущается.

Илья Разумов / CNews
http://www.cnews.ru/reviews/articles/in ... /12/199578

[5611]

В следующий вторник комитет Госдумы по конституционному законодательству и госстроительству окончательно определит, какие поправки войдут в текст законопроекта о персональных данных, второе чтение которого состоится в мае.
Законопроект о персональных данных был принят Госдумой в первом чтении в прошлом ноябре в связи с ратификацией Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных. Им устанавливаются единые принципы сбора, обработки и хранения личных сведений граждан. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия запрещаются, а органам госвласти и местного самоуправления вменяется в обязанность обеспечить гражданину возможность ознакомления с документами и материалами, затрагивающими его права и свободы.
Законопроект вызвал крайне негативную реакцию у общественности, особенно те его статьи, где говорится о создании единого регистра населения и о присвоении каждому гражданину пожизненного персонального идентификатора. Предполагалось, что в единой базе личных данных будет храниться вся информация о человеке - от прописки, уровня его дохода до отпечатков пальцев и результатов анализа ДНК. Президент предложил поправки, по которым скандальные статьи выделяются в отдельные законы.
Вчера на заседании комитета подвели промежуточные итоги работы над законопроектом. В соответствии с принятыми поправками гражданин имеет право в любой момент потребовать, чтобы его данные были исключены из общедоступных источников - телефонных, адресных книг, иных справочников. Обработка специальных категорий данных, касающихся расовой или этнической принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни, допускается только в следующих случаях: если гражданин дал на это письменное согласие, по решению суда или если эти данные необходимы для защиты здоровья и жизни, как его собственных, так и третьих лиц.

Как рассказали «Газете» в комитете по конституционному законодательству, Министерство информационных технологий и связи, которое от имени правительства внесло законопроект в Госдуму, намеревалось стать еще одним «держателем» ценной информации о гражданах наряду с ФСБ и Центризбиркомом (напомним, что система ГАС «Выборы» содержит информацию об избирателях, то есть дееспособных гражданах старше 18 лет). Вчера на заседании комитета представитель министерства высказал претензии к законопроекту. Он попросил изменить статью, где говорится, что «могут создаваться государственные регистры населения, правовой статус и порядок работы с которыми устанавливаются федеральным законом», и что контроль за созданием реестров нужно отдать Мининформсвязи. «Позвольте, вы от чьего имени выступаете, - поинтересовался депутат Юрий Иванов. - От имени правительства или своего собственного?" Представитель министерства выдавил из себя, что от имени "министерства Реймана", но сформулированных поправок у него нет. «Меня удивляет полная дремучесть министерства Реймана, - не унимался Иванов. - Неужели трудно написать поправки на бумаге и внести их или от имени правительства, или, на худой конец, через депутатов?" Председатель комитета Владимир Плигин, дав представителю министерства высказаться, припечатал: «В следующий раз, пожалуйста, принесите официальное письмо, подтверждающее ваши полномочия выступать от имени правительства».

Но тут оказалось, что ФСБ имеет свою точку зрения. Некто Горбачев (он представился, не называя имени-отчества) напомнил, что де-факто работой по обработке персональных данный занимается ФСБ и Федеральная служба по техническому и экспортному контролю, которые действуют на основе закона о ФСБ и указа президента. Решив не делать заседание комитета полем для полемики ведомств, Владимир Плигин попросил представителей правительства и президента к следующему заседанию подготовить официальные документы с изложением позиций. Но, как сказал "Газете" член комитета Сергей Попов, депутаты склоняются к тому, чтобы сохранить статус-кво и оставить право контролировать обработку персональных данных за ФСБ, потому что "из этого ведомства не бывает таких утечек информации, как из министерства Реймана".
http://gzt.ru/politics/2006/04/18/213102.html

[5611]

Закон «О персональных данных», по поводу которого было множество споров, наконец, обрел компромиссную формулировку.
В пятницу думский комитет по конституционному законодательству одобрил законопроект для принятия во втором чтении. Окончательно решено, что ни единого регистра, ни единого идентификатора в нем не будет. То есть гражданину не станут присваивать общий номер, под которым он будет фигурировать во всех ведомостях и ведомствах. Но и теперь, по мнению правозащитников, закон все-таки не гарантирует, что ваши персональные данные под надежной защитой.
Законопроект «О персональных данных» был внесен в парламент в сентябре прошлого года. Основной его декларируемой целью было привести российское законодательство в соответствие с Европейской конвенцией, которая провозглашает «защиту частной жизни человека от противозаконного вторжения в нее современных автоматизированных средств учета, подсчета и регистрации». Больше всего споров вызвали два момента, которые были предложены основным разработчиком закона – Министерством по информационным технологиям и связи. Это введение «единого государственного регистра», общей электронной базы, куда были бы занесены все собранные персональные данные о каждом гражданине. Кроме того, предполагалось, что каждому внесенному в электронное досье россиянину будет присвоен единый «идентификатор» – то есть буквенно-цифровой код, под которым человек бы значился во всех документах. Представители религиозных организаций тут же выразили свой протест, усмотрев в этой инициативе попытку внедрить в обращение «число дьявола». А правозащитники заявили, что сбором и одновременно контролем над всеми электронными досье должен заниматься не «единый координирующий орган», который предполагалось подчинить правительству, а «независимый уполномоченный орган». Кроме того, были опасения, что аккумулирование всех данных в едином центре легко может способствовать утечке этой информации.
Несмотря на жесткую критику со стороны как депутатов, так и правозащитников и представителей религиозных организаций, законопроект был принят в таком виде в первом чтении. Но потом в ситуацию вмешался президент, который предложил думцам исключить из текста статьи о госрегистре и едином идентификаторе.
Депутаты, как обычно, приняли к сведению предложения главы государства, и в результате члены комитета по конституционному законодательству решили, что каждое ведомство должно иметь собственную базу персональных данных (отдельный регистр и отдельный идентификатор). Правда, Министерство связи, основной разработчик данного законопроекта, до самого последнего момента пыталось тем или иным способом оставить в тексте понятие единого госрегистра. На последнем заседании комитета в пятницу, как рассказал «НИ» член комитета по госстроительству Александр Крутов, заместитель министра связи Борис Антонюк вновь представил поправки, которые предполагали возвращение единого электронного досье, но в смягченном виде. Однако эти корректировки вновь были отклонены. «Мало того, что Минсвязи опять попыталось протащить уже отклоненные поправки, так и в очередной раз внесло их с опозданием», – рассказал г-н Крутов. Глава думского комитета по конституционному законодательству Владимир Плигин, выслушав замминистра, подчеркнул, что больше никакие поправки рассматриваться не будут, а второе чтение законопроекта состоится 7 июня.
«К полному согласию прийти не удалось, но некий компромисс все же был достигнут, – пояснил «НИ» Александр Крутов, – Прежде всего это касается отказа от единого идентификатора, теперь таких идентификаторов будет много, они будут обозначать не человека, а некий массив данных. Каждое ведомство будет иметь свою базу данных. Не будет государственного регистра, хотя Министерство связи выступило против этого. Кроме того, усилена защита прав человека, а в законе прописано, что никто не вправе принуждать человека к принятию или использованию идентификатора». Но депутат считает, что понятие идентификатора все равно остается лазейкой, которую «будут использовать силы, которые заинтересованы во всеобщем контроле, они попытаются протащить эти моменты в следующих законопроектах».
Директор Института прав человека Валентин Гефтер, в свою очередь, считает – оттого, что баз данных будет несколько, ничего принципиально не изменится. «Чем больше мест, где хранится информация о человеке, тем больше возможностей, что эта информация будет использована без его ведома. Здесь возникает коррупционная составляющая. Ведь уровень защиты и контроля не повышается». Правозащитник считает, что оптимальным было бы введение должности уполномоченного по защите и контролю персональных данных, по аналогии с уполномоченным по правам человека.
http://www.newizv.ru/news/2006-05-15/46116/

[5611]

28 июня 2006 года в 10.00 на Пленарном заседании Госдумы Федерального Собрания Российской Федерации будет рассматриваться во втором чтении проект Федерального закона «Об информации, информационных технологиях и защите информации», передаёт пресс-служба Мининформсвязи России.

После рассмотрения законопроекта, ориентировочно в 10.30, состоится подход к прессе официального представителя Правительства Российской Федерации при рассмотрении палатами Федерального собрания Российской Федерации проекта Федерального закона «Об информации, информационных технологиях и защите информации», Министра информационных технологий и связи Российской Федерации Л.Д. Реймана
http://www.km.ru/news/view.asp?id=7B651 ... 888C669A38

[Антон Богатов]

состоится подход к прессе

Хе-хе...

[5611]

Как сообщает ИТАР-ТАСС, министр информационных технологий и связи РФ Леонид Рейман, выступая на пленарном заседании Госдумы во время обсуждения законопроекта, устанавливающего основы государственной политики в сфере информационных технологий, заявил, что полный запрет на использование зарубежного программного обеспечения /ПО/ в российских государственных информационных системах в настоящее время не целесообразен.

Импортное программное обеспечение, применяемое в России, проходит необходимую сертификацию и экспертизу, прежде чем допускается к использованию в стратегически важных государственных информационных системах, подчеркнул министр. Полный отказ от импортного ПО может привести к нарушению работы многих систем, которые используются в органах государственного управления, а также в правоохранительных и других силовых структурах.

Некоторые депутаты предложили поправки, связанные с запретом на использование иностранного программного обеспечения в стратегически важных государственных информсистемах. Рейман сказал, что замещение импортного ПО на отечественное при создании таких систем – очень важный вопрос, правительство планирует рассмотреть его осенью, информирует ИТАР-ТАСС.

Проект новой редакции закона “Об информации, информационных технологиях и защите информации” принят сегодня во втором чтении. http://www.wek.ru/tech/366/

[exInspektorUGSN]

Наверное господин Р имеет процент, раз так стоит за импортное ПО в госорганах и важных отраслях.

[Антон Богатов]

А отечественного ПО нет и не будет никогда. Зато у нас есть НДС...

[5611]

МОСКВА, 3 июля (Корр. АНН Игорь Ефимов). Закон о персональных данных вводит ответственного за каждую базу данных, которая появится в продаже, сообщил парламентским журналистам министр информатизации и связи РФ Леонид Рейман.


Он сказал об этом после окончания президиума фракции «Единая Россия» в Государственной Думе РФ, куда был приглашен для обсуждения дальнейшей судьбы законопроекта. Министр напомнил, что документ, прошедший первое чтение в Госдуме, «инициирован тем, что существует большое количество нарушений, связанных с утечкой персональных данных, как в России, так и за рубежом». «И поэтому, мы считаем, что та защита, которую мы предложили, позволит в значительной степени эту проблему решить», - сказал Рейман.

«Там учтены практически все замечания, которые высказывались как со стороны депутатов, так и со стороны государственного правового управления, - сказал министр. - Учтены все изменения, связанные с позицией общественных организаций. Принципиально важно, что за период, прошедший после первого чтения, удалось объяснить и доказать людям, которые сомневались в необходимости этого закона, что документ направлен именно на защиту персональных данных от несанкционированного доступа. Закон связан с тем, что сегодня многие пытаются собирать персональные данные, и российским законодательством это никак не регламентировано. Поэтому очень трудно привлекать к ответственности за многочисленные персональные данные, которые сегодня продаются, потому что такой ответственности законодательством пока не предусмотрено».

Данный закон, по словам министра, «существенно ограничивает число организаций, которые могут вести базу данных, он вводит ответственного за каждую базу данных, которая появится в продаже». «Т.е. появляется конкретный человек, к которому можно предъявить претензии и выяснить, каким образом эта база была создана или скопирована», - отметил он.

Говоря о контролирующем органе, министр сказал, что «сегодня в законе написана общая фраза о том, что уполномоченным органом является правительство». «Контролировать будет то ведомство, на которое правительство возложит эту обязанность», - считает Рейман.
http://www.annews.ru/modules.php?name=N ... &sid=48330

Законопроект «О персональных данных» может быть принят во втором и третьем чтении до конца весенней сессии Госдумы.

Об этом сообщил в понедельник, 3 июля, журналистам по итогам заседания президиума фракции «Единая Россия» министр информатизации и связи РФ Леонид Рейман, который представил «единороссам» подготовленный ко второму чтению законопроект.

Законопроект «О персональных данных» внесло 23сентбря 2005 года правительство РФ, Госдума его приняла в первом чтении 25 ноября 2005 года.

По словам министра, при подготовке ко второму чтению законопроект уже претерпел значительные изменения, учтены все замечания как депутатов, так и Правового управления Госдумы, также позиции общественных организаций.

Л.Рейман отметил, что при обсуждении проекта удалось убедить его оппонентов, что будущий закон направлен именно на защиту персональных данных от несанкционированного доступа. «Закон этот связан с тем, что сегодня многие собирают персональные данные, и закон это никак не регламентирует», — сказал министр.

Отвечая на вопросы журналистов, он подчеркнул, что данный закон не имеет никакого отношения к СОРМ или к проблемам «прослушки». Министр не знает, на какое из оставшихся трех пленарных заседаний Госдума вынесет обсуждение законопроекта — 5, 7 или 8 июля.

Как указано в пояснительной записке, целью законопроекта является создание общих унифицированных требований к сбору и обработке (хранению, актуализации, использованию, раскрытию и предоставлению) персональных данных физических лиц во всех сферах, где используются персональные данные.

В настоящее время в РФ сбор и обработку персональных данных осуществляет большое количество различных по своему правовому положению, характеру и объему полномочий субъектов, включая государственные органы, органы местного самоуправления, различные государственные и негосударственные организации, действующие на основании разрозненных и нередко не согласованных между собой положений законодательства РФ.

При этом единые подходы к деятельности рассматриваемых субъектов по сбору и обработке персональных данных действующим законодательством не установлены. Авторы проекта предлагают создать государственный регистр населения РФ с идентификаторами персональных данных всех физических лиц, постоянно или временно проживающих или пребывающих на территории РФ.

Государственный регистр населения РФ ведется уполномоченным федеральным органом исполнительной власти, определяемым Президентом РФ. В случае нарушения оператором требований закона определяемый правительством уполномоченный орган по защите прав субъектов персональных данных может аннулировать регистрацию информационной системы персональных данных либо потребовать устранения нарушения. После аннулирования регистрации информационной системы персональных данных обработка персональных данных в ней запрещается.

Персональные данные, обработанные до аннулирования регистрации, подлежат уничтожению, если иное не установлено нормативными правовыми актами РФ применительно к персональным данным, содержащимся в информационных системах персональных данных органов государственной власти РФ, органов государственной власти субъектов РФ и органов местного самоуправления.

Оператор, регистрация информационной системы персональных данных которого аннулирована, обязан в срок, не превышающий 5 рабочих дней с даты аннулирования регистрации, уведомить уполномоченный орган по защите прав субъектов персональных данных об уничтожении персональных данных, обработанных до аннулирования регистрации.

В случае нарушения права на неприкосновенность частной жизни при обработке персональных данных оператор несет предусмотренную законодательством РФ ответственность. В заключении профильного комитета по госстроительству за подписью.

Владимира Плигина указано, что все случаи регистрации информационных систем, а также порядок такой регистрации требуют законодательного регулирования. Комитет считает, что нуждается в уточнении статья 21 законопроекта, устанавливающая основы правового положения уполномоченного органа по защите прав субъектов персональных данных.

Комитет считает, что поскольку основное содержание деятельности уполномоченного органа составляет защита конституционных прав граждан, целесообразно рассмотреть вопрос о закреплении полномочий по созданию такого органа, определению его компетенции, а также осуществлению общего руководства его деятельностью за президентом РФ.

По мнению комитета, эффективным средством защиты прав граждан при обработке их персональных данных могло бы стать возложение функций в указанной сфере на Уполномоченного по правам человека в РФ
http://www.km.ru/news/view.asp?id=C48C4 ... 811E1F22E5

[5611]

Пакет законопроектов о персональных данных был принят Госдумой в первом чтении в ноябре прошлого года в связи с ратификацией конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, в том числе защите прав на неприкосновенность частной жизни, личную и семейную тайну.

Такие данные, как расовая, национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимная жизнь, получать без согласия гражданина не допускается. Цель законопроекта - "обеспечение защиты прав и свобод человека при обработке его персональных данных".


Общественность приняла этот законопроект в штыки: в Москве и других городах прошли митинги протеста. Власть прислушалась к гласу народа. В марте этого года Владимир Путин дал понять депутатам, что не поддерживает законопроект, и предложил выделить в самостоятельный закон две наиболее скандальные статьи - об идентификаторах (коде, который присваивается каждому гражданину) персональных данных и государственном регистре населения, который должен содержать эти идентификаторы. Профильный комитет Госдумы оперативно рассмотрел предложения президента и, естественно, утвердил их.


Вчера Госдума приняла законопроект во втором чтении. Как заявил глава комитета по конституционному законодательству и госстроительству Владимир Плигин, все пожелания общественности учтены. Из законопроекта исключено понятие "идентификатор". Но вводится термин «способ», то есть способ определения персональных данных. Что касается "единого государственного регистра", то он все-таки появится, но в усеченном виде и будет регулироваться отдельным законом. Госрегистр, по словам Плигина, "будет представлять из себя государственную информационную систему, не содержащую персональных данных, но позволяющую уполномоченному на то органу обратиться к оператору (имеющему базы персональных данных. - «Газета») за необходимыми сведениями и получить их".


Тем не менее усыпить бдительность думской оппозиции "единороссу" Плигину не удалось. На пленарном заседании депутат-коммунист Нина Останина заявила, что в таком виде законопроект противоречит конвенции Совета Европы: "Дело в том, что конвенция предполагает существование независимого органа по обработке персональных данных, а в вашем законопроекте этот орган определяется правительством". В ответ Плигин пообещал еще раз "остановиться на этом вопросе".
Депутат фракции "Родина" Александр Чуев сказал "Газете", что хотя законопроект и стал мягче (исключен пресловутый "идентификатор - код дьявола"), все равно он вызовет недовольство Церкви, поскольку сохраняется единый госрегистр.


В итоге за принятие законопроекта проголосовало более 350 депутатов, 71 был против. У этого законопроекта есть все шансы быть принятым до летних каникул. По крайней мере глава Мининформсвязи Леонид Рейман 3 июля просил об этом думских "единороссов" на заседании фракции "ЕР" и, похоже, нашел взаимопонимание.


Закон о персональных данных уже вызвал положительную реакцию среди участников рынка банковских услуг. Законное право распоряжаться персональными данными клиентов имеет на сегодня лишь подразделение ФСФР - Бюро кредитных историй. "Этот закон принят по той же логике, по которой уже действует закон о кредитных бюро, - сказал "Газете" гендиректор Национального бюро кредитных историй (НБКИ) Александр Викулин. - Персональными данными можно оперировать лишь с согласия владельца этих данных".


Московские чиновники сохранили свои персональные данные


Вчера Мосгордума отклонила внесенные депутатом Сергеем Митрохиным (фракция "Яблоко-Объединенные демократы") поправки в закон "О государственных должностях в городе Москве". Он предлагал дать СМИ право запрашивать и публиковать информацию о доходах столичных госслужащих категории "А" - членов правительства, главы Мосизбиркома, судей, депутатов Мосгордумы и прочих.

Митрохин при этом ссылался на нормы федерального законодательства. Например, журналисты могут получать из налоговых органов сведения о доходах членов правительства РФ и депутатов Госдумы. Кроме того, в Москве действует схожий закон по отношению к нижестоящим столичным чиновникам. А под конец своего выступления Митрохин привел, как казалось, самый убедительный довод. Он заявил, что законопроект - в русле объявленной президентом борьбы с коррупцией. И еще привел выложенную на сайте "Единой России" цитату главы Счетной палаты Сергея Степашина, призвавшего обеспечить прозрачность чиновничества.

Однако фракция "Единая Россия" Митрохину не вняла. Более того, депутаты "ЕР" даже не стали дискутировать, просто единодушно проголосовали против.

Это была уже вторая попытка Митрохина "рассекретить" доходы чиновников. Полмесяца назад он предлагал заставить членов правительства Москвы ежегодно публиковать свои декларации в официальной газете мэрии. Тогда Митрохина обвинили в нарушении прав человека.
http://gzt.ru/politics/2006/07/05/211015.html

[5611]

К персональным данным относятся фамилия, имя, отчество, дата, месяц и год рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая относящаяся к физическому лицу информация. Их сбор, распространение, хранение осуществляется с письменного согласия обладателя таких данных. Оператор, обрабатывающий персональные данные, обязан предоставить доказательство получения согласия физического лица, а в случае использования им общедоступных данных, которые не требуют соблюдения конфиденциальности либо с согласия субъекта персональных данных они доступны неограниченному кругу лиц, доказать, что данные действительно являются общедоступными. Не требуется согласие на обработку в тех случаях, когда необходимость персональных данных обусловлена защитой конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечением обороны и безопасности государства.

Вводятся специальные категории данных - биометрические данные, расовая, национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимная жизнь, обработка которых допускается только в перечисленных законопроектом случаях (при осуществлении правосудия, проведении оперативно-розыскной деятельности, при оказании медицинских услуг, экстренной помощи человеку с целью защиты его жизни, здоровья, если получение его согласия на обработку данных невозможно).

Понятие "постоянный и уникальный идентификатор персональных данных", попытка включения которого в законопроект вызвала общественный резонанс и неприятие со стороны некоторых религиозных и общественных организаций, в ходе доработки ко второму чтению было исключено. Напомним, что идентификаторы персональных данных предлагалось вводить для учета информации о физических лицах в государственные и муниципальные информационные системы и обобщающий все эти данные государственный регистр населения. В результате обсуждений законодатели решили написать, что способ обозначения принадлежности персональных данных конкретному физическому лицу может быть определен другими федеральными законами. Что касается государственного регистра, то его "возможное" создание также должен регламентировать специальный закон РФ.

Как отметил Плигин, с целью борьбы со спамом субъект персональных данных должен дать предварительное согласие на обработку своих данных при продвижении товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи. Глава комитета по госстроительству также сообщил, что механизм регистрации информационных систем заменен уведомлением оператора уполномоченного органа по защите прав субъектов персональных данных о намерении начать обработку данных.

Требования к обеспечению безопасности при обработке персональных данных в информационных системах установит Правительство РФ. Оно же определит уполномоченный орган по защите прав субъектов персональных данных, которому предоставляются функции по контролю и надзору за обработкой данных. Правовое управление Госдумы в своем заключении на законопроект отметило неясность статуса органа (федеральный, региональный), будет ли он иметь территриальные подразделения, "без чего реализация закона будет затруднена", а также несоответствие положениям Протокола к Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, ратифицированной Госдумой, о том, что данный орган должен выполнят свои функции в условиях полной независимости. На это замечание обратил внимание депутат Александр Крутов (фракция "Родина"), предложивший наделить правом утверждать уполномоченный орган по защите прав субъектов персональных данных не правительство, а президента. Поправка была отклонена.

Отметим, что информационные системы, созданные до вступления закона в силу, должны быть приведены в соответствии с ним до 1 января 2010 г.http://www.regnum.ru/news/668861.html

[5611]

МОСКВА, 8 июля. Госдума сегодня приняла в заключительном третьем чтении закон «Об информации, информационных технологиях и о защите информации». Как передает корреспондент «Росбалта», документ поддержали 409 депутатов, против высказались 2. Данный закон определяет порядок сбора, передачи, производства и распространения информации в РФ, использования информационно-телекоммуникационных сетей, устанавливает ответственность за нарушения в сфере информтехнологий и коммуникаций. Вводятся новые понятия («обладатель информации», «информационная технология», «оператор информационной системы» и другие), обеспечивающие однозначное толкование законодательных норм. За обладателем информации закрепляются исключительные права на определение доступа к информационным ресурсам и их использование.

Вводится классификация информации по критериям доступности и способам распространения (статья 4). Фиксируется «презумпция открытости информации о деятельности государственных органов и органов местного самоуправления»: граждане смогут бесплатно и без объяснения причин получать доступ к такой информации. С интернет- и хостинг-провайдеров, а также операторов дата-центров снимается ответственность за распространение и хранение их клиентами запрещенной информации.

В законе записано, что «право на доступ к какой-либо информации не может быть использовано для насильственного изменения основ конституционного строя, нарушения территориальной целостности РФ, создания угроз обороне страны, безопасности государства и охране правопорядка».
http://www.rosbalt.ru/2006/07/08/259510.html

[5611]

В последний день весенней сессии, 8 июля, на пленарном заседании Государственной думы были приняты законы "О персональных данных" и "Об информации, информационных технологиях и о защите информации". .

Персональные данные

Проект закона «О персональных данных» с конца осени прошлого года, когда появилась первая его редакция, пользовался значительным общественным интересом. Вокруг отдельных его положений, особенно того, что касалось введения идентификаторов персональных данных, кипели настоящие страсти. Политики не стеснялись откровенно спекулировать, поминая «число зверя», на юридических и технологических проблемах, связанных с защитой персональных данных граждан.

Но когда закон был принят в третьем чтении, это не привлекло к нему прежнего внимания. Между тем произошло безусловно выдающееся событие. Российский парламент впервые предпринял попытку оградить тех, кто проживает или находится временно на территории нашей страны, от любительской и профессиональной слежки. Последняя благодаря повсеместному распространению компьютеров и информационных технологий стала широко распространенной практикой: разнообразные базы персональных данных во множестве представлены на черном рынке.

Закон «О персональных данных» декларирует своей целью обеспечение защиты прав и свобод граждан при обработке их персональных данных. Закон должен стать важным элементом механизма, обеспечивающего неприкосновенность нашей личной жизни. Отныне установлен запрет на сбор и обработку без письменного согласия человека информации о его расовом или этническом происхождении, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, о состоянии здоровья, сексуальных наклонностях и судимостях. Этот запрет не распространяется на случаи, когда доступ к персональным данным необходим для сохранения здоровья человека, и тогда, когда персональные сведения о своих членах собирает некоммерческая организация (политическая партия, например).

Закон обеспечивает защиту персональных данных, но возлагает ответственность за их сбор и обработку прежде всего на самого гражданина, а не на государство. Если мы с вами беспечно предоставим личные сведения о себе, например, при оформлении дисконтной карты сети супермаркетов, в случае ненадлежащего использования этих сведений винить придется самих себя. Хотя государство вправе призвать к ответу оператора персональных данных (т.е. того, кто их собирает), если сбор личной информации не связан непосредственно со стоящими перед оператором персональных данных уставными или производственными целями.

Передача персональных данных за границы Российской Федерации, а также сбор и обработка этих данных без согласия гражданина допустимы в ряде только в ряде специально оговоренных законом случаев.

«Идентификатор персональных данных» (это понятие предусматривалось первоначальными редакциями законопроекта) до третьего чтения не дожил. Разработчики документа предполагали, что идентификатор персональных данных будет состоять из фамилии, имени, отчества, пола, даты и места рождения гражданина. Этого достаточно, чтобы однозначно идентифицировать каждого из нас, и сами по себе эти сведения, даже будучи опубликованными, никакой опасности для гражданина не представляют. Процедура идентификации нужна в свою очередь для того, чтобы создать единый государственный регистр населения (ЕГРН) и обеспечить с его помощью непротиворечивость информации, хранящейся государством в различных базах данных (таких, например, как база данных Пенсионного фонда).

Вокруг идентификации граждан велись ожесточенные споры. В связи с ЕГРН некоторые депутаты поминали даже «число зверя». Под давлением обращений граждан, опасавшихся гипотетической госслежки за ними с помощью ЕГРН, законодатель принял решение регламентировать создание ЕГРН в отдельном законе. http://www.vremya.ru/2006/119/13/156127.html

[5611]

Законы об информации и о персональных данных одобрены подавляющим большинством СФ
СФ одобрил Федеральный закон "О персональных данных" (144 "за", 1 против, 2 воздержались) и новый Федеральный закон "Об информации, информационных технологиях и защите информации" (142 "за", 1 воздержался). http://www.scilla.ru/news.php?ChapterID=10&NewsID=2030

[5611]

...Согласно плану, Мининформсвязи, МВД и ряд других ведомств должны к сентябрю 2006 года предложить новые меры по повышению ответственности за нарушение прав интеллектуальной собственности .... http://www.politcom.ru/article.php?id=3092

[Anatoliy]

Вот пришло со спамом по электронке.....
ну наверно не я первый и последний

001 ЕГТС-2005г Версии 25.7 Professional (Московский Регион)» 13Гб – 4000р.
- сведения об абоненте;
- адрес установки конечного оборудования;
- дата актуализации первичных данных;
- дата актуализации последнего подтверждения;
- реестровый номер МЦЭБ.
Банк данных «МТС». Интегрированная эксклюзивная база
данных по телефонам МТС, включающая в себя:
- информацию по владельцам номера с паспортными данными, сведениями по
адресам прописки, фактического проживания, места работы, контактную
информацию и т.д.;
- информацию по юридическим лицам - владельцам мобильных телефонов с
указанием наименования, адресов, идентификационных кодов и т.д.;
- сведения по адресам доставки счетов, контактным телефонам,
ФИО контактных лиц;
- банк данных по более чем 11,000,000 контактным лицам, лицам
подписавшим контракты, лицам производившим оплату счетов с указанием
ФИО, даты рождения, паспортных данных, адресов прописки и
фактического проживания;
- сведения-архив по отключенным телефонам и номерам, сменившим
владельцев.
Доступ к полной версии базы данных МТС возможен только в
составе ЕГТС-2005

[5611]

"Вы имеете право - хранить молчание", эта фраза из голливудских фильмов по сути стала в России законом.
Теперь гражданин России может не рассказывать о себе лишнего, даже если этого настойчиво требуют различные сборщики информации, и более того, он вправе требовать, чтобы нежелательные сведения были удалены из всех баз данных, даже из телефонных справочников.
Глава государства подписал нашумевшие законы "О персональных данных" и "О информации, информационных технологиях и защите информации". 29 июля "Российская газета" опубликовала эти законы. Впервые в нашей стране строго регламентированы такие важнейшие вещи, как сбор баз данных на граждан и защита информационных систем, в том числе и тех, в которых хранится информация о гражданах.

Больше всего разговоров было о первом законе. Когда он разрабатывался, многие граждане испугались того, что теперь все попадут под колпак. Возникли даже жаркие споры, к которым подключились и правозащитные организации, и даже церковь. Говорилось даже о некоем коде, который якобы присвоят каждому гражданину и под которым будет храниться вся подноготная.

Однако, как пояснили разработчики закона, ничего подобного они не подразумевали. Закон строго расписывает, кто должен создавать базы данных, как их можно использовать, как нельзя, и так далее. Ведь базы данных сегодня существуют, хотим мы того или нет.

Причем собирают информацию не только спецслужбы, но и различные коммерческие организации. Например, банки, выдающие кредиты. Частные клиники хранят истории болезни. Сотовые компании знают адреса и номера телефонов граждан. И так далее. В государственных ведомствах тоже на каждого есть обширные досье. ГАИ держит базы данных автомобилистов. Налоговая инспекция знает все или почти все про налогоплательщиков. Есть еще собесы, обычные больницы, фирмы, где работают граждане. В общем, если покопаться, можно столько всего нарыть!

Между тем раньше в законах не было ограничений на объем собираемых персональных данных. А гражданин не вправе был требовать уничтожения. После вступления закона в силу ситуация должна измениться. Вот что рассказал про закон директор департамента правового обеспечения Мининформсвязи России Михаил Якушев:

- Никто не может требовать от гражданина сведений больше, чем требуется для объявленной цели, и никто не сможет собирать персональные данные, если не сможет эти сведения защитить. Важный принцип, заложенный в проект закона: необходимо получить согласие гражданина на получение и обработку его персональных данных. В ряде случаев требуется даже его письменное согласие.

А следить за всеми хранилищами информации будет специальная организация. Она станет регистрировать все базы данных. В законе ее назвали просто: "уполномоченный орган по защите прав субъектов персональных данных". Точного названия ведомства пока нет. Сказано лишь, что это "федеральный орган исполнительной власти, осуществляющий функции по надзору и контролю в сфере информационных технологий и связи". Под это определение попадают и министерство информационных технологий и связи, и ФСБ, и ряд других ведомств.

Что же считать персональными данными? Абсолютно все: имя-фамилия человека, год и место рождения. Адрес, семейное положение, зарплата, образование и так далее, и тому подобное.

В соответствии с законом нельзя вносить в базы данных сведения о национальности, политических и религиозных взглядов, интимной жизни или судимости. Все эти данные относятся к специальной категории. Поэтому если какой-нибудь отдел кадров при приеме на работу это потребует, то будет не прав. Правда, в законе есть оговорка, что создавать базы данных специальной категории можно в ряде случаев, например, для осуществления правосудия. А также в соответствии с Законом "Об оперативно-розыскной деятельности" и уголовно-исполнительным законодательством. В общем, для спецслужб сделали исключение, что понятно.

В пакете вместе с законом о персональных данных шел и другой не менее важный закон: об информационных технологиях и защите информации. Этот закон устанавливает основы государственной политики в такой тонкой сфере, как применения информационных технологий.
http://www.rg.ru/2006/08/01/informacia.html

[5611]

....На недавнем собрании акционеров ОАО "Таттелеком" журналисты поинтересовались у Премьер-министра РТ Рустама Минниханова, что за пятилетняя программа развития готовится на этом предприятии (контрольный пакет акций ОАО - у государства), нельзя ли назвать некоторые показатели, которые будут заложены в этот документ. Премьер хитро улыбнулся и заметил, что среди операторов связи существует столь жестокая конкуренция, что любая информация тут же становится "пищей" для других операторов. Иногда даже намека достаточно, чтобы аналитики конкурирующей фирмы сделали выводы о планируемых шагах. Уж бизнес-разведчики умеют так просеять полученные сведения, что даже намеки станут для них пищей для размышления. Те, кто работает в условиях жесткой борьбы с конкурентами, знают об этом как никто другой. Вот Премьер-министр и объяснил журналистам, что коммерческую тайну никто не отменял.

Но далеко не все чиновники догадываются о том, что они могут затребовать с коммерсантов далеко не всю информацию, которую собственники могут им предоставить.

- Иногда мне звонят из различных ведомств республики и просят предоставить сведения о планах предприятия на перспективу, - рассказывает Александр Таркаев, председатель Торгово-промышленной палаты РТ. - И чиновникам даже в голову не приходит, что это - коммерческая тайна, это закрытая информация, которая может быть доверена лишь очень узкому кругу людей. Есть перечень показателей, которые предприниматели обязаны предоставлять властным структурам, и то в определенных случаях. Все остальное - извините, не для посторонних глаз и ушей.

Руководители и собственники предприятия сами определяют, какую информацию следует считать коммерческой тайной. В то же время Федеральный закон "О коммерческой тайне" четко оговаривает, какие сведения ни при каких обстоятельствах не могут быть причислены к коммерческой тайне. Это, в первую очередь, данные об учредителях, размер уставного капитала, информация о регистрации. В законе "Об акционерных обществах" установлены сведения, которые при любых обстоятельствах должны быть предоставлены акционерам. И вот тут возникают серьезные коллизии. Нередко конкуренты, прикупив на рынке несколько акций интересующего их предприятия, пользуются правом акционера и влезают в "святая святых" компании. И коммерсантам приходится проявлять великое умение, чтобы сохранить свои секреты.

Не всегда это удается. В Казани, например, появились "профессиональные акционеры", которые судятся с предприятиями по поводу непредоставления им тех или иных сведений. А в итоге судебных разбирательств они получают не только интересующую их информацию (а порой и дополнительные сведения), но и деньги - за моральный ущерб. Некоторые директора предпочитают от них сразу откупиться, некоторые идут на принцип и судятся - себе в убыток. Года два назад такой акционер пытался вклиниться в ход собрания акционеров Казанского вертолетного завода. Но как только генеральный директор объяснил собравшимся, кто именно задает вопросы, "акционер" поспешно ретировался из зала. Его не догнали даже быстрые на ноги журналисты.

Конечно, собственник может объявить коммерческой тайной любую (кроме установленной законом) информацию. Но эксперты утверждают, что бессмысленно объявлять коммерческой тайной показатели, которые предоставляются в различные ведомства. Какими-то путями эти сведения рано или поздно становятся известными конкурентам и тем, кто в них нуждается. Более того, некоторые закрытые данные (вот уж совершенно непонятно) продаются на черном рынке на электронных носителях: плати - и тебе будет известно очень многое. Зачем вскрывать компьютерные сети, подкупать сотрудников интересующих фирм, если все это можно получить намного дешевле? Утечка информации из государственных органов перестала быть закрытой темой. Об этой проблеме заговорили и сами руководители ведомств, всерьез задумавшись о защите информации на государственном уровне. Правда, бизнесу от этого пока не легче. Объем "уплывающей" информации постоянно растет.

Наш бизнес проходит азы промышленного шпионажа
Это в старые добрые времена специалисты промышленного шпионажа переснимали документы мини-фотоаппаратами, воровали документы и перетряхивали мусор, который вывозили из интересующей их конторы. Впрочем, и сегодня некоторые коммерческие фирмы не брезгуют изучением содержимого мусорных корзин (а вдруг попадется что-нибудь стоящее?). Продвинутый бизнес все-таки предпочитает не хранить информацию на бумажных носителях. Сведения доверяются в основном носителям электронным. Это, с одной стороны, надежнее, а с другой, - головная боль для владельцев бизнеса. Информацию в электронном виде легче украсть и изнутри, и снаружи. Кто проследит, что "скачивает" сотрудник, куда "скачивает" и с какого компьютера перегоняет информацию, что именно перегоняет по факсу, если факс находится у него в кабинете? Украсть информацию можно и не заходя в офис фирмы: специалисты-компьютерщики экстра-класса вскрывают системы, которые имеют несколько степеней защиты.

За рубежом 20 процентов доходов крупной компании, как правило, направляется на защиту коммерческой информации (сюда входят и содержание службы безопасности, и защита компьютерных сетей, и другие мероприятия). В России эту цифру сегодня никто не называет, однако, по словам генерального директора ОАО "ICL- КПО ВС" Виктора Дьячкова, солидные фирмы на защиту информации выделяют до десяти процентов стоимости технических средств. Никто не будет тратить на защиту сведений больше денег, чем эти сведения в реальности стоят. Поэтому бизнес сам определяет, сколько он готов потратить на сохранение коммерческой тайны. И готов ли тратить вообще, поскольку в предпринимательской среде нередко бытует мнение, что защищать информацию вообще не имеет смысла, все равно в век всеобщей компьютеризации ее, если конкуренты поставят такую цель, украдут.

- Не так давно мы разработали новые виды инструментов, они хорошо пошли на рынке, появились заказы, - рассказывает менеджер одного из казанских коммерческих предприятий. - Через какое-то время те же изделия, но не нашего производства, появились в ассортименте другой компании. Просто скопировать наши инструменты сложно. Сделать аналоги можно только по нормативной документации. Понятно, что кто-то документы у нас украл. Можно, конечно, проводить расследование, тратить на это средства, бороться с воришками, но стоит ли? Теперь вот думаем, что новенького еще выбросить на рынок. Так что в какой-то мере промышленный шпионаж - это двигатель научно-технического прогресса. Он нам спать не дает.

Тем не менее продвинутые бизнесмены, особенно те, кому есть что терять от утечки информации, коммерческую тайну все-таки защищают. Специалисты отслеживают движение информации, устанавливают специальные АТС (известно, кто, кому и когда звонил и какие звонки принимал), контрольно-пропускные пункты на этажах, "бирочки" для посетителей, видеокамеры в особо "горячих" местах. Переговоры проводятся в специальных комнатах - там легче проверить, остались ли "жучки" после посетителей. Навести порядок можно и чисто организационными методами - сделать так, чтобы сотрудники не шатались по кабинетам, не заглядывали в файлы к коллегам... В некоторых конторах, рассказывает Виктор Дьячков, вообще отсутствует культура в работе с информационными системами. Кто захотел, тот и вставил диск в компьютер, никто не проверяет его на вирусы (между тем вирусы "научились" не только ломать системы, но и воровать из них полезную информацию). Мне рассказывали случай, когда одна из крупных казанских фирм ввела пароли для входа в системы с закрытой информацией. Так забывчивые дамочки приклеили этот самый пароль на... монитор. Чтобы всегда был перед глазами - своими, а заодно, конечно, и чужими.

И все-таки считается, что большая часть информации утекает не по компьютерным сетям, не благодаря специалистам-компьютерщикам, а путем передачи информации - из уст в уста, от человека к человеку. Подкуп сотрудников конкурирующих фирм и внедрение к конкурентам своего человека намного дешевле, считают эксперты, чем услуги высокопрофессионального хакера. Способов получить нужную информацию масса - все они весьма образно показаны нашим кинематографом в сериалах. Можно просто заплатить тому, кто недоволен своей зарплатой, можно пустить в дело шантаж (продемонстрировать снимки, дать прослушать телефонные разговоры), можно, в конце концов, угрожать расправой над близкими - в эффективную защиту правоохранительных органов сегодня мало кто верит. На Западе, как пишет специальная пресса, работники высшего звена крупных компаний даже обязаны ставить в известность службу безопасности о всех своих романтических связях, чтобы обезопасить себя и компанию. Там сплошь и рядом проверяют сотрудников и кандидатов на рабочее место на детекторах лжи, следят за каждым шагом особо информированных работников, прослушивают их телефоны на работе и дома. "Это высшая математика промышленного шпионажа, - образно заметил Виктор Дьячков. - Региональный бизнес пока только осваивает в этой области школьную программу, да и то на уровне пятого класса".

В России до подобных способов защиты коммерческой тайны еще не дошли. Однако компании, которые заботятся о своей репутации, весьма тщательно проверяют людей, которых принимают на работу. "Подбор кадров - это не просто изучение трудовой книжки и характеристик с прежнего места работы, - рассказывает Александр Таркаев. - Мы, например, внимательно смотрим, из какой семьи кандидат на ту или иную должность, какие у него друзья, знакомые, чем занимается в свободное время. Наша компания предоставляет консалтинговые услуги, и любая утечка информации о клиентах может больно ударить по бизнесу. Клиенты в следующий раз к нам просто не обратятся, да и репутация компании сильно пострадает".

Иногда утечка информации происходит просто из-за элементарной глупости или болтливости: почему бы не рассказать соседям или друзьям, какую интересную продукцию выпускает предприятие, какие солидные гости побывали на заводе, какие контракты заключены и какой по этому поводу состоялся банкет. Если рассказ случился дома на кухне - еще полбеды, а если на лавочке во дворе или в магазине - тогда последствия для бизнеса могут стать печальными.

Болтливые дамы вряд ли хотят нанести финансовый ущерб фирме, где работают. Просто они, скорее всего, и не подозревают, какие сведения относятся к коммерческой тайне, а какие - нет. На уважающих себя предприятиях есть четкие инструкции на этот счет. Более того, сейчас Трудовой кодекс разрешает в трудовые соглашения включать специальные пункты об ответственности за разглашение коммерческой тайны или принимать дополнительное соглашение на этот счет. Можно, конечно, взять с сотрудника и расписку, что он обязуется не разглашать коммерческую тайну, например, в течение трех лет после увольнения с предприятия.

Однако доказать, что утечка информации произошла по вине того или иного сотрудника, на практике очень сложно. И хотя в законодательстве предусмотрены различные виды ответственности за нарушение режима коммерческой тайны - вплоть до уголовной и возмещения ущерба, - на деле применить закон не всегда удается. Суды затребуют с предпринимателей такой объем документов!.. И в каком-нибудь из них обязательно найдется прокол, за который зацепятся адвокаты. В итоге распространитель тайны окажется невиновным, а издержки придется нести коммерсанту, например, за несправедливо уволенного сотрудника.

Гораздо эффективнее другой путь - создать болтуну в определенных кругах репутацию ненадежного человека. Специалиста с подобной славой вряд ли возьмут в приличную фирму - кому нужен сотрудник, сливающий информацию конкурентам или не умеющий держать язык за зубами? Его не возьмут даже те, кто купил ценную информацию. Где гарантия, что он тебя не продаст? На карьере "продавца" тогда можно ставить крест.

http://rt-online.ru/numbers/economy/?id=30084

[5611]

Осенью 2006 года наконец был опубликована новая версия ГОСТа, посвященного практическим правилам управления ИБ. Этого давно ждали, но чего же дождались? Во-первых, специалисты получили лишь перевод устаревшей версии международного стандарта ИСО 17799 2000 года, а во-вторых, качество этого перевода оставляет желать много лучшего.

cтраницы: 1 | 2 | следующая
ГОСТ Р ИСО/МЭК 17799-2005 "Информационная технология - Практические правила управления информационной безопасностью", подготовленный Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России"), был опубликован осенью 2006 года.

Специалисты в области информационной безопасности и ряда смежных отраслей уже давно ждали принятия этого ключевого стандарта в качестве национального. Несколько огорчает то, что был получен перевод версии 2000 года, а не существенно более современной и детальной версии 2005 года. Обе версии, как известно, были переведены и прошли публичное обсуждение. Возможно, комитет-разработчик стандарта предпочел не спешить и как следует доработать по итогам обсуждения перевод стандарта ИСО 17799:2005 и "парного" к нему сертификационного стандарта ИСО 27001:2005, - а пока опубликовать лучше "отлаженный" перевод версии 2000 года.

Основные принципы СУИБ

ГОСТ Р ИСО/МЭК 17799-2005 представляет собой перечень мер, необходимых для обеспечения информационной безопасности организации, включая действия по созданию и внедрению системы управления информационной безопасности (СУИБ), которая строится таким же образом и на тех же принципах, что и система менеджмента качества, и совместима с ней. Это - не единственный документ такого рода, однако именно в стандарте ИСО 17799 (и в его предшественнике – британском стандарте BS 7799-1) впервые предпринята попытка охватить весь комплекс проблем, связанных с информационной безопасностью. Наиболее важными являются следующие особенности этого документа.

Информационная безопасность не сводится только к компьютерной. Стандарт говорит не только о защите компьютерных систем, сетей и носителей информации, но и о других активах организации: об информации и документах на "традиционных" носителях (бумага, микропленка), а также об информации, хранящейся в головах сотрудников организации. При этом обеспечить защиту необходимо на всех стадиях обработки информации, таких как копирование, хранение, передача и уничтожение.... http://safe.cnews.ru/reviews/index.shtml?2007/01/10/230553_1

[5611]

Олег Панов обещает защитить секреты бизнеса от всех, даже от оперативников ФСБ. Один из основоположников российского рынка рекламы рассказал газете ВЗГЛЯД о проекте E-NIGMA. Господин Панов утверждает, что создал почти непробиваемую систему защиты конфиденциальных данных, которая способна уберечь банковскую тайну и абонентские базы сотовых операторов от попадания на черный рынок.

.....

http://www.vz.ru/economy/2007/4/9/76540.html