среда, 30 ноября 2011 г.

Виды персональных данных в 152-ФЗ


Под классификацией здесь я буду понимать процесс группировки объектов исследования или наблюдения в соответствии с их общими признаками. Все что сказано ниже не относится к классам К1-К4.

До недавнего времени мне казалось, что уж с классификацией все устаканилось давно. Оказалось, как подсказали старшие товарищи из Новосибирского РКН, нет. После некоторых размышлений решил все собрать в одну кучу ограничившись уровнем 152-ФЗ.

понедельник, 28 ноября 2011 г.

В порядке бреда по лицензированию ТЗКИ и персональных данных


Постановление Правительства  № 781 от 17 ноября 2007 г. перечитанное вдоль и поперек, смотрим  п.4 Положения:
4. Работы по обеспечению безопасности персональных данных при их обработке в информационных системах являются неотъемлемой частью работ по созданию информационных систем.

Зная нашего законодателя приходят разные интересные и не очень мысли вроде того, что если проект по созданию ИС не включает в себя требования по защите и там есть ПД, то проект не полный, а договор фиктивный. А если включает, то это уже деятельность по ТЗКИ. Теперь всем интеграторам ИСПДн, (а что у нас не ИСПДН?) лицензироваться во ФСТЭК? Или субподряд? Хотя с субподрядом для меня не все до конца ясно. Я как понимаю, что все фирмы, которые вываливаются по запросу, потенциальные клиенты либо ФСТЭК, либо ОБЭП?


суббота, 19 ноября 2011 г.

Коммерческая тайна, патенты и интеллектуальная собственность.


Неожиданно для себя попал на двухдневный семинар по защите интеллектуальной собственности. Предельно интересное событие и дало хороший толчок в развитии. 

 В частности понял для себя три вещи:

пятница, 11 ноября 2011 г.

Позиция Новосибирского РКН


Вчера на одном мероприятии с интересом выслушал представителя Новосибирского РКН. Что запомнилось-удивило (привожу смысл сказанного,как я услышал-записал, а не цитирую, так что могут быть ошибки):

1. Есть мнение уважаемых товарищей, что уведомление в РКН должны подавать все предприятия с численностью более 4 человек. Случаев,  когда компания попадает  исключительно под действие 22 статьи  части 2 в природе встречается очень мало. Обычно всегда находится что-то еще, так как бизнес штука сложная и не понятная, а трактовка законов еще сложнее. В общем что-то найдется всегда.
С моей точки зрения уведомление РКН, в текущей конфигурации, это минимальное из возможных зол. На сегодня я не знаю разумных причин не уведомлять РКН. Более того иногда встречается мнение, что вероятность попасть в план проверок выше, если не подано уведомление.

2. Письменное согласие - основное основание обработки ПД если нет Закона. Действительно существует только 5 случаев обязательного письменного согласия, но как оператор будет доказывать факт получения согласия в другой форме? Идеальный вариант взять согласие в соответствии с требованиями статьи 9. То, что для выдачи дисконтной карты надо заполнить форму как на открытие юр. лицане проблема.

3. Традиционная биометрия… В общем случае фотография человека есть биометрические данные... Без уточнения. 
О биометрии есть еще и хорошие новости – на прошлой неделе представитель ФСТЭК сказал, что вот так вот с ходу определить является ли фотография биометрией, лично он не может. Ссылался на ГОСТ и т.д. Так что лед вроде тронулся, но как-то не шустро - по-прежнему, СКУД считается Новосибирскими регуляторами К1.

Хочу отметить, что в целом от выступления осталось ощущения «положительной динамики» и поиска разумного подхода к решению проблемы.  Я наблюдал развития контролера законодательства о государственных закупках, в лице ФАС и пока могу сказать, что развитие событий идет по более оптимистичному сценарию.