Как стать автором
Обновить

Комментарии 33

Использовании сокращений в заголовке подразумевает расшифровку сокращения в тексте. В противном случае читатель теряет свое время на поиск понятия или неправильно трактует статью.
Лично я понял с первого раза и пришел в ужал.
Теперь уж точно придется все приводить в соответствие.
Буквенные аббревиатуры и сложносокращённые слова, кроме тех из них, которые общепонятны и имеют широкое распространение, не рекомендуются для употребления в печати общего назначения.

Сложносокращённые слова и аббревиатуры предназначаются преимущественно для специальных изданий (например, ведомственных инструкций, справочников и т. п.).
Хабр скорее специальное издание, чем «печать общего назначения».
Ваше возражение всецело справедливо.

С другой стороны, я угадываю во блогозаписи IrkDesigner стремление обойтись без хабраката, а для этого надобно уложиться в 600 символов, так что поневоле приходится прибегнуть ко стилю почти телеграфному (или же, как сейчас принято называть его, твиттерному).
Судя по гуглю: ПДН — подразделение по делам несовершеннолетних. Но автор видимо имел ввиду Персональные Данные.
ПДН вс ПДн
Сколько раз уже увеличивали и уменьшали меру ответственности. Ни слова про категории информационных систем обрабатывающих персоналку, приводятся только категории нарушителей — бред. Хорошо что только проект.
Главное — «создать движуху»! Тогда видно, что «работа идет». Жаль, конечно, что до сути так и не дошли…
НЛО прилетело и опубликовало эту надпись здесь
Это не преступления, а правонарушения.
Ну всё, отделения безопасности следует в ВУЗах переводить с программистских факультетов на юридический
НЛО прилетело и опубликовало эту надпись здесь
Я намекал на то, что с увеличением штрафов даже к тем, у кого на самом деле всё хорошо будут придираться органы (т.к. из штрафов премии платят), причём придираться будут к оформлению документов, а не к реальным проблемам (над ними ещё думать надо). Вот и получается, что специалист по безопасности всё больше будет следить за качеством журналов и всё меньше защищать от реальных угроз.
так и есть, есть разные специальности по подготовке к информационной безопасности. в частности та, на которой обучаюсь лично я звучит как «организация и технология защиты информации» и подразумевает более бумажной работы чем прикладной. учат и персональным данным, и документоведению, а вот с технической точки зрения все очень-очень хромает
> 26.07.2006 Правительством РФ принят Федеральный закон № 152 «О персональных данных», согласно которому все организации, обрабатывающие сведения, относящиеся к персональным данным, не позднее 1 июля 2011 года должны привести свои информационные системы по обработке и защите персональных данных в соответствие с его требованиями.

Ну год прошел как должны были привести, эффекта нет, ужесточают ответственность. Чего тут удивительного, не понимаю…

П.С. И да, запарили уже спамеры, в том числе мобильные. Надеюсь хоть кого-то из них по этой статье реально накажут.
Боюсь, вы не совсем понимаете масштаб трагедии. Дело в том, что требования обязательные для всех. И если какой-нибудь банк или более-менее крупная компания еще как-то может поскрести по сусекам и выделить деньги на защиту, то для мелкого бизнеса это очень накладно.

Мало просто написать бумажку-политику и поставить антивирус. Надо разработать комплект документов, провести аудит своих процессов и систем, разработать модели угроз и внедрить систему защиты. Последнее, кстати, должно проводиться компанией, имеющей лицензию (да, антивирус самостоятельно тоже не поставить). Кстати, я не сказал — должны использоваться средства ЗИ, прошедшие оценку соответствия (читай, сертифицированные)…

Написал столько текста, но забыл упомянуть про права субъекта? Правильно. Никому нет дела до вас, ваших проблем со спамерами и свободной продажи баз ваших персональных данных. Ужесточили только наказание за несоответствие требованиям, адекватность которых вызывает сомнение у некоторых специалистов. Ответственность за разглашение или утечки остается прежней (вспоминаем «дело» Мегафона). Об этом лучше почитать, например, у Емельянникова (http://emeliyannikov.blogspot.com/2012/05/blog-post_15.html)
>… для мелкого бизнеса это очень накладно
> Надо разработать комплект документов, провести аудит своих процессов и систем, разработать модели угроз и внедрить систему защиты.

Ну так надо это делать или нет, как вы считаете? Или если малый бизнес — то уже и не надо? Как-то странно получается… Вот если вы зарабатываете много, на машине дорогой ездите — то нужно делать ТО, а если нищеброд как я и ездите на развалюхе — то уже нет? И пофиг на то что по тем же дорогам я езжу что и вы, и там те же люди потенциально подвержены угрозе от неисправности моей машины.

Не можете обеспечить безопасность персональных данных, соответствовать требованиям — не беритесь за это. То что требования кажутся неадекватными — повод пересмотреть требования, а не расстраиваться из-за изменения уровня наказания. К слову, очень низок этот уровень.

Понятно что у нас все это будет применяться в основном к менее защищенным, как и все остальные законы, но такова наша система, и это опять таки повод менять систему но не отказываться от законов…
Делать надо… Но и закон для малого бизнеса нужно менять. Для проведения действий по защите ПДн отныне (с 27 февраля, насколько помню), необходима лицензия. В т.ч. и на установку антивирусного ПО. Т.е. вы тратите деньги на приобретение сертифицированного антивируса, но сами установить его не в праве, а обязаны (по закону) пригласить специально обученного человека, который лично нажмет «далее-далее-готово». ИМХО этот маразм погубит малый бизнес.
Аргументируйте минус пожалуйста:)
Не понимаю, откуда Вы сделали такие выводы. Защищать ПДн надо независимо от размера организации. Я просто хотел развеять Ваши, как мне показалось, несколько идеализированные представления.

Я за разумные требования. И еще я за риск-ориентированный подход. Например, в Европе исходят из факта утечки. В плане, защищай как хочешь, но если оплошаешь — сам виноват, ответишь по полной.
У нас же напротив. Мудрые дяди посовещались между собой и решили, что ПДн надо защищать ВОТ ТАК. Шаг вправо, шаг влево — штраф. А для прикола, это все еще надо написать так, что у специалистов печень не выдерживает разбираться… Эффективность такого решения сомнительна.

Например, у вас есть сеть на CISCO, бухгалтерия и кадры вынесены в отдельные VLAN, на компьютерах стоит opensource-решение по резервному копированию, групповыми политиками AD настроен аудит и ограничены права пользователей. Да, антивирус у вас, например, Norton. А потом приходит проверяющий и выясняется, что ничего то у вас и нет и нарушитель вы злостный. Потому что средства защиты оценку соответствия не прошли, ставил их какой-то сертифицированный на непонятных языках Вася, журнал регистрации журналов учета не ведется… И так далее.

До поправок риск нарушения требования был приемлем. Я знал, что могу сделать защиту и ждать прихода проверяющего, который, в случае чего, укажет что и где надо поменять. Теперь же варианта кроме обратиться к лицензиату и выложить ему кучу денег за несомненно интересную, но явно избыточную работу — нет.
Интересно — где, как и сколько стоит пройти это самое обучение — чтобы самому заниматься лицензированием? Я правильно понимаю, что любой гражданин может пройти это обучение и заниматься подобной деятельностью?
Нет, только юридические лица. Ознакомьтесь с постановлением правительства №79 от 03.02.12.
Спасибо.
В фокусируетесь не на том. Главная беда в том, что закон направлен не на защиту людей персональных данных, а на прищучивание организаций которые закон нарушат. Вы нашли в этом законе хоть строчку вида: «Компенсировать ущерб гражданину чьи персональные данные попали в лапы спамеров по вине оператора персональных данных». Я вот ничего такого не видел, только взятки чиновникам штрафы в казну.

Но это вообще говоря проблема общая для нашего законодательства в целом.
Возможно не кстати, но все же: социальные сети и различные интернет-проекты с хранением персональных данных (место жительства, телефон, фио) попадают под этот закон?
Попадают.
Если я буду хранить ваши персональные данные ненадлежащим образом, и затем внезапно они утекут, вас засыпят спамом, SMS-ками, звонками на рабочий домашний номер, предложениями кредитов и т.д. — я попаду под действие этого закона.
В действующей версии закона наказание за это правонарушение составит для для меня как для физ.лица 500 рублей.

С другой стороны если я буду хранить ваши данные так что они никуда не утекут, но проверяющая организация выявит что они не соответствую какому-то из формальных требований по хранению — я тоже влечу на 500 р.

И вот автора несколько расстраивает что применяться закон будет по второму варианту. Но это в силу неадекватности требований к хранению и обработке ПД.

А останавливающая часть закона — это те самые 500 р (для юр 5К), которые должны остановить меня от совершения правонарушения в отношении ваших ПД. Очевидно 500 р меня мало остановят…

Физическое лицо тут не причем. Вы своими ПДн можете разбрасываться как хотите, но вот соцсеть (Цукерберг или Дуров) будет за них отвечать как юридическое лицо.
Не спорю. Просто предполагал разбрасываться чужими, закон формально применим к физ.лицам.
Как ни странно, но похоже что да. В блоге Лукацкого написано:«По проекту нового Постановления понятие общедоступных ПДн из классификации исчезло вовсе. И если я напишу в Facebook, Twitter, Одноклассниках или на любом ином сайте, что я заболел ОРВИ (напишу сам, по своей воле), то этот сайт будет классифицирован не как К4 (по приказу трех), а как К1. И попытка исправить это недоразумение (я так считал) к успеху не привела — авторы проектов считают, что это информация о состоянии здоровья (даже если я сам ее опубликовал и ее публикация никакого ущерба мне ненанесет), будет относиться к 1-й категории, а вся ИСПДн — к К1.»
Любопытно тогда, как будет рассматриваться цитирование первоисточника?
Спасибо, конечно, за новость, но так писать нельзя. Не подстатья 13.111, а часть 1-я статьи 13.11. Это не преступление, а административное правонарушение (для преступлений есть Уголовный кодекс). 1000000 рублей — нечитабельно, можно же написать «миллион». Про сокращение ПДн вообще молчу.

Ах да, коль скоро вы дизайнер (по нику), то писать тире короче этого: «—» (да еще без пробелов с двух сторон) — недопустимо.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории