Комментарии 33
Использовании сокращений в заголовке подразумевает расшифровку сокращения в тексте. В противном случае читатель теряет свое время на поиск понятия или неправильно трактует статью.
+13
Лично я понял с первого раза и пришел в ужал.
Теперь уж точно придется все приводить в соответствие.
Теперь уж точно придется все приводить в соответствие.
-5
Буквенные аббревиатуры и сложносокращённые слова, кроме тех из них, которые общепонятны и имеют широкое распространение, не рекомендуются для употребления в печати общего назначения.
Сложносокращённые слова и аббревиатуры предназначаются преимущественно для специальных изданий (например, ведомственных инструкций, справочников и т. п.).
Сложносокращённые слова и аббревиатуры предназначаются преимущественно для специальных изданий (например, ведомственных инструкций, справочников и т. п.).
+7
Ваше возражение всецело справедливо.
С другой стороны, я угадываю во блогозаписи IrkDesigner стремление обойтись без хабраката, а для этого надобно уложиться в 600 символов, так что поневоле приходится прибегнуть ко стилю почти телеграфному (или же, как сейчас принято называть его, твиттерному).
С другой стороны, я угадываю во блогозаписи IrkDesigner стремление обойтись без хабраката, а для этого надобно уложиться в 600 символов, так что поневоле приходится прибегнуть ко стилю почти телеграфному (или же, как сейчас принято называть его, твиттерному).
-2
Судя по гуглю: ПДН — подразделение по делам несовершеннолетних. Но автор видимо имел ввиду Персональные Данные.
+2
Сколько раз уже увеличивали и уменьшали меру ответственности. Ни слова про категории информационных систем обрабатывающих персоналку, приводятся только категории нарушителей — бред. Хорошо что только проект.
+3
НЛО прилетело и опубликовало эту надпись здесь
Это не преступления, а правонарушения.
+2
Ну всё, отделения безопасности следует в ВУЗах переводить с программистских факультетов на юридический
0
НЛО прилетело и опубликовало эту надпись здесь
Я намекал на то, что с увеличением штрафов даже к тем, у кого на самом деле всё хорошо будут придираться органы (т.к. из штрафов премии платят), причём придираться будут к оформлению документов, а не к реальным проблемам (над ними ещё думать надо). Вот и получается, что специалист по безопасности всё больше будет следить за качеством журналов и всё меньше защищать от реальных угроз.
0
так и есть, есть разные специальности по подготовке к информационной безопасности. в частности та, на которой обучаюсь лично я звучит как «организация и технология защиты информации» и подразумевает более бумажной работы чем прикладной. учат и персональным данным, и документоведению, а вот с технической точки зрения все очень-очень хромает
0
> 26.07.2006 Правительством РФ принят Федеральный закон № 152 «О персональных данных», согласно которому все организации, обрабатывающие сведения, относящиеся к персональным данным, не позднее 1 июля 2011 года должны привести свои информационные системы по обработке и защите персональных данных в соответствие с его требованиями.
Ну год прошел как должны были привести, эффекта нет, ужесточают ответственность. Чего тут удивительного, не понимаю…
П.С. И да, запарили уже спамеры, в том числе мобильные. Надеюсь хоть кого-то из них по этой статье реально накажут.
Ну год прошел как должны были привести, эффекта нет, ужесточают ответственность. Чего тут удивительного, не понимаю…
П.С. И да, запарили уже спамеры, в том числе мобильные. Надеюсь хоть кого-то из них по этой статье реально накажут.
0
Боюсь, вы не совсем понимаете масштаб трагедии. Дело в том, что требования обязательные для всех. И если какой-нибудь банк или более-менее крупная компания еще как-то может поскрести по сусекам и выделить деньги на защиту, то для мелкого бизнеса это очень накладно.
Мало просто написать бумажку-политику и поставить антивирус. Надо разработать комплект документов, провести аудит своих процессов и систем, разработать модели угроз и внедрить систему защиты. Последнее, кстати, должно проводиться компанией, имеющей лицензию (да, антивирус самостоятельно тоже не поставить). Кстати, я не сказал — должны использоваться средства ЗИ, прошедшие оценку соответствия (читай, сертифицированные)…
Написал столько текста, но забыл упомянуть про права субъекта? Правильно. Никому нет дела до вас, ваших проблем со спамерами и свободной продажи баз ваших персональных данных. Ужесточили только наказание за несоответствие требованиям, адекватность которых вызывает сомнение у некоторых специалистов. Ответственность за разглашение или утечки остается прежней (вспоминаем «дело» Мегафона). Об этом лучше почитать, например, у Емельянникова (http://emeliyannikov.blogspot.com/2012/05/blog-post_15.html)
Мало просто написать бумажку-политику и поставить антивирус. Надо разработать комплект документов, провести аудит своих процессов и систем, разработать модели угроз и внедрить систему защиты. Последнее, кстати, должно проводиться компанией, имеющей лицензию (да, антивирус самостоятельно тоже не поставить). Кстати, я не сказал — должны использоваться средства ЗИ, прошедшие оценку соответствия (читай, сертифицированные)…
Написал столько текста, но забыл упомянуть про права субъекта? Правильно. Никому нет дела до вас, ваших проблем со спамерами и свободной продажи баз ваших персональных данных. Ужесточили только наказание за несоответствие требованиям, адекватность которых вызывает сомнение у некоторых специалистов. Ответственность за разглашение или утечки остается прежней (вспоминаем «дело» Мегафона). Об этом лучше почитать, например, у Емельянникова (http://emeliyannikov.blogspot.com/2012/05/blog-post_15.html)
0
>… для мелкого бизнеса это очень накладно
> Надо разработать комплект документов, провести аудит своих процессов и систем, разработать модели угроз и внедрить систему защиты.
Ну так надо это делать или нет, как вы считаете? Или если малый бизнес — то уже и не надо? Как-то странно получается… Вот если вы зарабатываете много, на машине дорогой ездите — то нужно делать ТО, а если нищеброд как я и ездите на развалюхе — то уже нет? И пофиг на то что по тем же дорогам я езжу что и вы, и там те же люди потенциально подвержены угрозе от неисправности моей машины.
Не можете обеспечить безопасность персональных данных, соответствовать требованиям — не беритесь за это. То что требования кажутся неадекватными — повод пересмотреть требования, а не расстраиваться из-за изменения уровня наказания. К слову, очень низок этот уровень.
Понятно что у нас все это будет применяться в основном к менее защищенным, как и все остальные законы, но такова наша система, и это опять таки повод менять систему но не отказываться от законов…
> Надо разработать комплект документов, провести аудит своих процессов и систем, разработать модели угроз и внедрить систему защиты.
Ну так надо это делать или нет, как вы считаете? Или если малый бизнес — то уже и не надо? Как-то странно получается… Вот если вы зарабатываете много, на машине дорогой ездите — то нужно делать ТО, а если нищеброд как я и ездите на развалюхе — то уже нет? И пофиг на то что по тем же дорогам я езжу что и вы, и там те же люди потенциально подвержены угрозе от неисправности моей машины.
Не можете обеспечить безопасность персональных данных, соответствовать требованиям — не беритесь за это. То что требования кажутся неадекватными — повод пересмотреть требования, а не расстраиваться из-за изменения уровня наказания. К слову, очень низок этот уровень.
Понятно что у нас все это будет применяться в основном к менее защищенным, как и все остальные законы, но такова наша система, и это опять таки повод менять систему но не отказываться от законов…
+1
Делать надо… Но и закон для малого бизнеса нужно менять. Для проведения действий по защите ПДн отныне (с 27 февраля, насколько помню), необходима лицензия. В т.ч. и на установку антивирусного ПО. Т.е. вы тратите деньги на приобретение сертифицированного антивируса, но сами установить его не в праве, а обязаны (по закону) пригласить специально обученного человека, который лично нажмет «далее-далее-готово». ИМХО этот маразм погубит малый бизнес.
0
Не понимаю, откуда Вы сделали такие выводы. Защищать ПДн надо независимо от размера организации. Я просто хотел развеять Ваши, как мне показалось, несколько идеализированные представления.
Я за разумные требования. И еще я за риск-ориентированный подход. Например, в Европе исходят из факта утечки. В плане, защищай как хочешь, но если оплошаешь — сам виноват, ответишь по полной.
У нас же напротив. Мудрые дяди посовещались между собой и решили, что ПДн надо защищать ВОТ ТАК. Шаг вправо, шаг влево — штраф. А для прикола, это все еще надо написать так, что у специалистов печень не выдерживает разбираться… Эффективность такого решения сомнительна.
Например, у вас есть сеть на CISCO, бухгалтерия и кадры вынесены в отдельные VLAN, на компьютерах стоит opensource-решение по резервному копированию, групповыми политиками AD настроен аудит и ограничены права пользователей. Да, антивирус у вас, например, Norton. А потом приходит проверяющий и выясняется, что ничего то у вас и нет и нарушитель вы злостный. Потому что средства защиты оценку соответствия не прошли, ставил их какой-то сертифицированный на непонятных языках Вася, журнал регистрации журналов учета не ведется… И так далее.
До поправок риск нарушения требования был приемлем. Я знал, что могу сделать защиту и ждать прихода проверяющего, который, в случае чего, укажет что и где надо поменять. Теперь же варианта кроме обратиться к лицензиату и выложить ему кучу денег за несомненно интересную, но явно избыточную работу — нет.
Я за разумные требования. И еще я за риск-ориентированный подход. Например, в Европе исходят из факта утечки. В плане, защищай как хочешь, но если оплошаешь — сам виноват, ответишь по полной.
У нас же напротив. Мудрые дяди посовещались между собой и решили, что ПДн надо защищать ВОТ ТАК. Шаг вправо, шаг влево — штраф. А для прикола, это все еще надо написать так, что у специалистов печень не выдерживает разбираться… Эффективность такого решения сомнительна.
Например, у вас есть сеть на CISCO, бухгалтерия и кадры вынесены в отдельные VLAN, на компьютерах стоит opensource-решение по резервному копированию, групповыми политиками AD настроен аудит и ограничены права пользователей. Да, антивирус у вас, например, Norton. А потом приходит проверяющий и выясняется, что ничего то у вас и нет и нарушитель вы злостный. Потому что средства защиты оценку соответствия не прошли, ставил их какой-то сертифицированный на непонятных языках Вася, журнал регистрации журналов учета не ведется… И так далее.
До поправок риск нарушения требования был приемлем. Я знал, что могу сделать защиту и ждать прихода проверяющего, который, в случае чего, укажет что и где надо поменять. Теперь же варианта кроме обратиться к лицензиату и выложить ему кучу денег за несомненно интересную, но явно избыточную работу — нет.
+1
Интересно — где, как и сколько стоит пройти это самое обучение — чтобы самому заниматься лицензированием? Я правильно понимаю, что любой гражданин может пройти это обучение и заниматься подобной деятельностью?
0
В фокусируетесь не на том. Главная беда в том, что закон направлен не на защиту людей персональных данных, а на прищучивание организаций которые закон нарушат. Вы нашли в этом законе хоть строчку вида: «Компенсировать ущерб гражданину чьи персональные данные попали в лапы спамеров по вине оператора персональных данных». Я вот ничего такого не видел, только взятки чиновникам штрафы в казну.
Но это вообще говоря проблема общая для нашего законодательства в целом.
Но это вообще говоря проблема общая для нашего законодательства в целом.
0
Возможно не кстати, но все же: социальные сети и различные интернет-проекты с хранением персональных данных (место жительства, телефон, фио) попадают под этот закон?
0
Попадают.
0
Если я буду хранить ваши персональные данные ненадлежащим образом, и затем внезапно они утекут, вас засыпят спамом, SMS-ками, звонками на рабочий домашний номер, предложениями кредитов и т.д. — я попаду под действие этого закона.
В действующей версии закона наказание за это правонарушение составит для для меня как для физ.лица 500 рублей.
С другой стороны если я буду хранить ваши данные так что они никуда не утекут, но проверяющая организация выявит что они не соответствую какому-то из формальных требований по хранению — я тоже влечу на 500 р.
И вот автора несколько расстраивает что применяться закон будет по второму варианту. Но это в силу неадекватности требований к хранению и обработке ПД.
А останавливающая часть закона — это те самые 500 р (для юр 5К), которые должны остановить меня от совершения правонарушения в отношении ваших ПД. Очевидно 500 р меня мало остановят…
В действующей версии закона наказание за это правонарушение составит для для меня как для физ.лица 500 рублей.
С другой стороны если я буду хранить ваши данные так что они никуда не утекут, но проверяющая организация выявит что они не соответствую какому-то из формальных требований по хранению — я тоже влечу на 500 р.
И вот автора несколько расстраивает что применяться закон будет по второму варианту. Но это в силу неадекватности требований к хранению и обработке ПД.
А останавливающая часть закона — это те самые 500 р (для юр 5К), которые должны остановить меня от совершения правонарушения в отношении ваших ПД. Очевидно 500 р меня мало остановят…
0
Как ни странно, но похоже что да. В блоге Лукацкого написано:«По проекту нового Постановления понятие общедоступных ПДн из классификации исчезло вовсе. И если я напишу в Facebook, Twitter, Одноклассниках или на любом ином сайте, что я заболел ОРВИ (напишу сам, по своей воле), то этот сайт будет классифицирован не как К4 (по приказу трех), а как К1. И попытка исправить это недоразумение (я так считал) к успеху не привела — авторы проектов считают, что это информация о состоянии здоровья (даже если я сам ее опубликовал и ее публикация никакого ущерба мне ненанесет), будет относиться к 1-й категории, а вся ИСПДн — к К1.»
0
Спасибо, конечно, за новость, но так писать нельзя. Не подстатья 13.111, а часть 1-я статьи 13.11. Это не преступление, а административное правонарушение (для преступлений есть Уголовный кодекс). 1000000 рублей — нечитабельно, можно же написать «миллион». Про сокращение ПДн вообще молчу.
Ах да, коль скоро вы дизайнер (по нику), то писать тире короче этого: «—» (да еще без пробелов с двух сторон) — недопустимо.
Ах да, коль скоро вы дизайнер (по нику), то писать тире короче этого: «—» (да еще без пробелов с двух сторон) — недопустимо.
+1
Зарегистрируйтесь на Хабре , чтобы оставить комментарий
Новый «подарок» в законодательстве по ПДн