Базы персональных данных - готовимся к регистрации

Позавчера вступило в силу положение кабинета министров № 616 "Про Государственный реестр баз персональных данных и порядок его ведения". С документом можно ознакомится тут.

Прочтение документа оставляет открытыми некоторые вопросы. Например, где форма заявки, о которой говорится в 6-м пункте положения? Или куда отправлять заявки?

На самом деле нужно набраться немного терпения и подождать пару дней. Вслед за положением, гос. служба Украины по вопросам защиты персональных данных должна опубликовать "Порядок подачи и заполнения заявления о регистрации базы персональных данных". Документ раскрывает:

• кто попадает под регистрацию

• в какие сроки сколько заявок нужно составить
• по каким каналам можно передавать заявки на регистрацию
• контакты кому подавать заявку
• общие требования заполнения заявки

Кроме того, документ содержит саму форму заявки. Достаточно объемную - аж 8 страниц. К счастью, обязательными являются только первые 4, остальные - рекомендованы для заполнения. Учитывая, что нужно заполнять заявку на каждую базу - работы будет много.

В обязательной части необходимо заполнить:

• Информацию о владельце базы (стандартный набор реквизитов)
• Именование и месторасположение базы персональных данных, включая информацию про лицо, ответственное за ведение базы
• Цель обработки персональных данных. Содержит два раздела. Собственно цель - отметить галочками из списка. И правовое основание для обработки ПД - опять же, выбрать из списка.
• Информацию о других распорядителях персональных данных

В дополнительной части можно еще описать следующее:

• Форма предоставления согласия на обработку персональных данных субъектами персональных данных
• Способ ведения баз (электронный, картотеки и т.д.)
• Источники получения персональных данных
• Распространение персональных данных (третьим сторонам)
• Информация о передачи персональных данных за границу
• Категории субъектов, относительно которых осуществляется обработка персональных данных
• Категории персональных данных, которые обрабатываются 
• Типы информации, содержащиеся в базе (классификация)
• Описание принятых мер по защите персональных данных от незаконной обработки и незаконного доступа

Не смотря на дополнения и разъяснения, остается еще масса не закрытых вопросов: откуда взялась категоризация данных, как не нарушить пункт про регистрацию базы в течение 10 дней с момента начала обработки данных, если они там обрабатываются уже годами и т.д.
К счастью, наконец-то должен заработать официальный сайт - www.zpd.gov.ua (вроде в будущую субботу, но если ссылка не заработает - попробуйте позже).

Ударим регистрацией по разгильдяйству и бездорожью беспределу с персональными данными!

О фальшивых тренингах по защите персональных данных

Обратился ко мне знакомый юрист с просьбой посмотреть одним глазом разработанный документ соглашение с сотрудниками на обработку их персональных данных. Некоторые формулировки мне показались откровенно противоречащими закону. Обратив внимание юриста на сомнительные места, поинтересовался - почему заинтересовались данным вопросом? Да, закон есть, да, утверждена ответственность. Но типового порядка и других подзаконных актов еще нет (точнее есть, но не имеют пока официального статуса). С чего вдруг такая сознательность?!? То есть это хорошо, но как-то не привычно. Оказывается, юрист был недавно на специализированном тренинге, посвященному вопросам защиты персональных данных. Название компании- автора этого шедевра мне не о чем не сказало, но рискну предположить, что таких контор сейчас не одна и не две. Ведь ответственность уже есть и даже уголовная (и не важно, что только со следующего года). А официальных разъяснений от контролирующего органа - нет. Золотое время для шарлатанов и блаженных, которые думают, что постигли суть защиты персональных данных и спешат поделиться своим уникальным опытом с другими. Естественно за деньги. Рискну предположить, что за шарлатанами-юристами сегодня-завтра к вам придут шарлатаны-безопасники, которые пытаются втюхать доверчивому народу свои услуги (например, техническую защиту персональных данных) под любое изменение в законодательстве. Так было,есть и будет и с этим ничего не поделать. Скупой платит дважды, а лох - постоянно.
Но есть и хорошая новость.
Ориентировочно в сентября будет государственная служба Украины по вопросам защиты персональных данных планирует проводить семинар (возможно и не один), посвященный вопросам защиты персональных данных. Мероприятие ориентированно на компании всех секторов экономики и представителей всех управленческих вертикалей. Мероприятие БЕСПЛАТНОЕ. Основная цель - обучение трактованию закона, объяснение что делать, а что не нужно. Первая ласточка уже была - на 6-м собрании UISG. Планируемое же мероприятие будет посвящено целиком вопросам защиты персональных данных и будет длиться целый день.
В общем, если Вы озадачились вопросом соблюдения закона, но достаточно цените свое время и деньги, и не желает тратить ни то не другое на проходимцев - следите за анонсами и не пропустите мероприятие.

Большой брат следит за тобой.

Природное стремление человека, животного по природе стадного, к коммуникации  в сочетании с развитием технологий дает нам такие замечательные вещи, как социальные сети, видео конференции и прочие приятности, позволяющие вовлекать большие массы людей в общение, вне зависимости от расстояний. Все меньше можно найти мобильных устройств без фронтальной камеры. Так что вместе с текстом и звуком можно передавать изображение неотразимого себя.
А можно использовать устройство для негласного сбора информации. Например, для андроида подобны приложений существует уйма, причем бесплатных.  Настраиваем соответствующим образом и телемаркет - телефон, с якобы выключенным экраном безобидно лежащий на столе/в руке/другое постоянно, либо с определенным интервалом, фиксирует все, что находится в области действия камеры/камер и передает через интернет / сохраняет на диске /отправляет через MMS изображение в виде фото или видео, со звуком или без. Красота.
А можно пересылать изображение и без ведома обладателя устройства. И делать это можно как из добрых побуждений так и не очень.
Добрыми назовем побуждения, например, вычисление злоумышленника, укравшего наш <вписать имя любимого устройства>. Соответствующих программ тоже предостаточно. Активируются удаленно и могут пересылать изображения того, что устройство видит, плюс геолокационные дынные с GPS. Пример душещипательной истории как человек нашел свой украденный Mac недавно пролетал в рунете - любознательные смогут найти через гугл.
Менее добрым можно, например, назвать инициативу Тревора Харвера, сотрудника компании, занимающейся в том числе ремонтом Mac'ов. Инициативный специалист, обделенный женским вниманием, устанавливал на компьютеры своих клиенток приложение Camcapture, с помощью которого собирал коллекцию фотографий своих клиенток в жанре Ню. Информации о том, какое наказание грозит изобретательному извращенцу пока нет, но рискну предположить, что собранная коллекция фотографий будет служить ему утешением в скромной камере со спартанской обстановкой не один год.
Но устройства можно использовать не только для успокоения разбушевавшихся гормонов.  Гораздо интереснее собирать данные... ну хотя бы с систем видеоконференции во время заседания больших боссов компании. Ведь она, как правило, в одной сети со всем остальным. Достучались до управляющего оборудования и вперед. Да и через ноутбуки/планшеты/телефоны топов не сложно стать свидетелем интересных событий.
Для силовых структур, опять же не паханное поле.
В общем, технология есть - включайте фантазию.

СУИБ в банках - внедрить нельзя платить штраф

Проповедование Национальным банком риск-ориентированного подхода в области управления информационной безопасности начало приносить плоды. Хотя и не совсем совсем не те, которые ожидались. Замечательная идея внедрять контроли информационной безопасности только там, где уровень риска выше приемлемого приглянулся банкам. И первый риск, который банки решили оценить, стал риск ... не внедрения стандарта.
Анализируя источники трафика в статистике посещения моего блога, я обратил внимание на то, что около 50 (если точно, то 47) посещений за последний месяц было выполнено с гугловского поисковика с параметрами поиска "Что грозит банку если не внедряют СУИБ?".
Не могу сказать, что это стало для меня чем-то неожиданным. Посмотрим на ситуацию глазами банков. С одной стороны, методику внедрения опубликовали только в этом году, а сроки надзоровской проверки (1 октября 2011) оставили без изменений. 6 месяцев для внедрения стандарта в полном объеме в рамках всего банка (именно такая формулировка вопреки здравому смыслу рекомендациям международного оригинального стандарта присутствует в СОУ Н НБУ 65.1) не реален - в него сможет уложится только мелкий банк, при условии, что есть необходимые ресурсы и... работающий СУИБ. А ресурсов то нет. Бюджеты составлялись в прошлом году, и внедрение стандарта никто не закладывал. Да и кризис для многих банков закончился только теоретически.  А был бы бюджет - где взять людей? Грамотных специалистов по информационной безопасности - раз, два и обчелся. Да и загружены они и без того текучкой. А привлекать консультантов... см. пункт про ресурсы.
Вот и стоят банки перед дилемой - дождаться 1-го октября, заплатить штраф (а то, глядишь, и просто рекомендациями отделаются) и спать спокойно до следующего года или судорожно строить бумажный симулятор СУИБ для надзора. Ведь у надзора тоже нет специалистов. Так что, посидев пару недель на нормативной базой и "доказательствами" работы процессов и проведя репетицию распределения ролей среди персонала (чтобы складно врали рассказывали проверке как все здорово работает) проверку соответствия пройти будет не так уже и сложно.
Защита информации прочнее не станет, но получить отсрочку на год и сфокусироваться на более насущих вещах - вполне реально.

Определена ответственность за несоблюдение закона "О защите персональных данных"

Сегодня Верховная Рада приняла закон "О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных". Вступает в силу с 1-го января 2012. Основные моменты:

Кодекс Украины об административных правонарушениях:

• Неуведомление или несвоевременное уведомление субъекта персональных данных о его правах в связи с включением его персональных данных в базу персональных данных, цель сбора этих данных и лиц, которым эти данные передаются - штраф 200-300 необлагаемых минимумов для граждан и 300-400 для должностных лиц и граждан - субъектов предпринимательской деятельности.

• Неуведомление или несвоевременное уведомление специально уполномоченного центрального органа исполнительной власти по вопросам защиты персональных данных об изменении сведений, представляемых для государственной регистрации базы персональных данных - штраф 100-200 необлагаемых минимумов для граждан и 200-400 для должностных лиц и граждан - субъектов предпринимательской деятельности.

• Повторное на протяжении года совершение нарушения из числа предусмотренных частями первой или второй настоящей статьи, за которое лицо уже подвергалось административному взысканию - штраф 300-500 необлагаемых минимумов для граждан и 400-700 для должностных лиц и граждан - субъектов предпринимательской деятельности.

• Уклонение от государственной регистрации базы персональных данных- штраф 300-500 необлагаемых минимумов для граждан и 500-1000 для должностных лиц и граждан - субъектов предпринимательской деятельности.

• Несоблюдение установленного законодательством о защите персональных данных порядке защиты персональных данных в базе персональных данных, что привело к незаконному доступу к ним - штраф 100-10000 необлагаемых минимумов.

• Невыполнение законных требований должностных лиц специально уполномоченного центрального органа исполнительной власти по вопросам защиты персональных данных по устранению нарушений законодательства о защите персональных данных - штраф 100-200 для должностных лиц и граждан - субъектов предпринимательской деятельности.

Криминальный Кодекс Украины:

• Незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о лице или незаконная смена такой информации, кроме случаев, предусмотренных другими статьями этого Кодекса, - штрафом 500-1000 необлагаемых минимумов или исправительные работы на срок до двух лет, либо арест на срок до шести месяцев, или ограничением свободы на срок до трех лет. Те действия, совершенные повторно, или если они причинили существенный вред охраняемым законом правам, свободам и интересам лица, - арест на срок от трех до шести месяцев или ограничением свободы на срок от трех до пяти лет или лишением свободы на тот же срок.

Так что, в отличие от последствий за не соблюдение требований Национального банка по информационной безопасности, о которых даже сам регулятор не имеет четкого представления, картина проста и прозрачна. Ждем самих требований по защите и механизмы регистрации баз.