We do what we must because we can.
1 июля 2011 года вступает в действие в полном объеме Федеральный Закон №152-ФЗ "О Персональных Данных". Если кратко, то закон регулирует деятельность организаций, работающих с персональными данными (ПДн) частных лиц, а это даже просто ФИО и появился этот закон в рамках нашего плавного движения в сторону более плотных экономических связей с Евросоюзом (ВТО то есть). И в Европе, и в США есть аналогичные законы, так что вроде бы как все отлично, но как обычно есть наше российское "НО".
Дело в том, что в России, где ФСБ не признает никаких международных систем шифрования данных, кроме российского ГОСТа, не поддерживаемого ни одним браузером, до кучи персональные данные, начиная с определенного объема и содержания, относятся практически к гос.тайне. Вот вы на 66.ру свой профиль заполнили, написали там ФИО, e-mail, телефон, может еще место работы указали и вот вас тут более 1000 человек и вот уже 66.ру автоматом становится оператором по обработке персональных данных второй категории.
Но, короче, в чем же суть проблемы. Для работы с ПДн, кроме самых простых категорий, необходим целый ряд мероприятий по защите этих самых ПДн. К ним относятся (я все упрощаю для обывателей):
1. Сертифицированная ОС на компах. Думаете вы купили винду и всё? А хрен вам, ибо сертифицированы только топовые версии Windows 7 и Windows Server 2008 R2. Всякие там home/basic и т.п можете смело выкинуть.
2. Сертифицированный антивирус для защиты сертифицированной ОС. Скачанный с интернета не канает, он должен быть куплен на компакте с соответствующей наклейкой и ни дай Бог вы его обновите до следующей версии.
3. Ходите с этого компа в Инет? Ну вот у вас должен быть сертифицированный firewall. Думаете что у вас в офисе стоит freebsd или linux или вообще аппаратный роутер и все пучком? Не, нифига. Ваш линукс не сертифицирован как firewall, зато как firewall сертифицирован UserGate [puke]
4. А что, вы еще хотите персональные данные по сети общего пользования передавать? Ну тогда вам нужна сертифицированная система шифрования. Выкиньте свой бесплатный openvpn, он не сертифицирован. Купите за мегабабосы VIPNet (vpn между двумя узлами обойдется вам в районе сотки рубликов).
А где же коррупция, спросите вы? А вот она, прямо перед вами. Вы думали, что поставите у себя в офисе линуксы и у вас все будет пучком, а за одно и денег сэкономите? Не, нифига. Вам нужен сертифицированный линукс (Альт Линукс Десктоп сертифицированный ФСТЭК стоит 7000 рублей в год, да-да именно в год), на который надо поставить сертифицированного Каспера (вы что, в приказе ФСТЭК написано что антивирус должен быть и все, пофиг что вирусов в linux нет), а прикрыть сеть из сертифицированных линуксов можно только сертифицированной виндой с сертифицированным firewall, потому что ни один firewall под linux не сертифицирован (бугага).
Но что такое эта самая сертификация? Смотрите: www.altlinux.ru/products/altlinux-spt-fstec/ внизу страницы выложены образы сертифицированного линукса для ознакомления. ТОЧНО ТАКОЙ ЖЕ дистрибутив, но купленный за 7 тыс и поставленный с CD сертифицирован, а скачанный с сайта байт-в-байт совпадащий с ним образ - нет. Маразм? Нет, дело в том, что компания АльтЛинукс, принадлежащая, кстати, госкорпорации Ростехнологии, затратила кучу бабла на получение бумажки от ФСТЭК и точно не будет раздавать диски с этой бумажкой нахаляву.
Итог такой: компании, которая работала себе годами, обрабатывала эти самые ПДн в своей собственной защищенной своими (весьма грамотными, что общепризнанно) специалистами среде, теперь должна потратить порядка лепехи денег на покупку говнософта с сертификатами, а так же ежегодно отваливать еще бабла чтобы эти сертификаты продлялись. И это при том, что безопасность хранения и обработки ПДн по нашему мнению вообще никак не увеличится, а вероятно даже и уменьшится.
Так для чего реально принимается ЗоПД №152-ФЗ? Для того, чтобы куча гос.контор заработала на сертификации всего и вся и отжала очередную порцию сливок со ВСЕГО бизнеса в этой стране. Ведь отдел кадров в любой компании, даже самой мелкой, тоже хранит персональные данные своих работников, которые тоже нужно защищать, разумеется.
А вы говорите взятки, инфляция и т.п.
(с) Антон Халиков. Директор NetAngels
Дело в том, что в России, где ФСБ не признает никаких международных систем шифрования данных, кроме российского ГОСТа, не поддерживаемого ни одним браузером, до кучи персональные данные, начиная с определенного объема и содержания, относятся практически к гос.тайне. Вот вы на 66.ру свой профиль заполнили, написали там ФИО, e-mail, телефон, может еще место работы указали и вот вас тут более 1000 человек и вот уже 66.ру автоматом становится оператором по обработке персональных данных второй категории.
Но, короче, в чем же суть проблемы. Для работы с ПДн, кроме самых простых категорий, необходим целый ряд мероприятий по защите этих самых ПДн. К ним относятся (я все упрощаю для обывателей):
1. Сертифицированная ОС на компах. Думаете вы купили винду и всё? А хрен вам, ибо сертифицированы только топовые версии Windows 7 и Windows Server 2008 R2. Всякие там home/basic и т.п можете смело выкинуть.
2. Сертифицированный антивирус для защиты сертифицированной ОС. Скачанный с интернета не канает, он должен быть куплен на компакте с соответствующей наклейкой и ни дай Бог вы его обновите до следующей версии.
3. Ходите с этого компа в Инет? Ну вот у вас должен быть сертифицированный firewall. Думаете что у вас в офисе стоит freebsd или linux или вообще аппаратный роутер и все пучком? Не, нифига. Ваш линукс не сертифицирован как firewall, зато как firewall сертифицирован UserGate [puke]
4. А что, вы еще хотите персональные данные по сети общего пользования передавать? Ну тогда вам нужна сертифицированная система шифрования. Выкиньте свой бесплатный openvpn, он не сертифицирован. Купите за мегабабосы VIPNet (vpn между двумя узлами обойдется вам в районе сотки рубликов).
А где же коррупция, спросите вы? А вот она, прямо перед вами. Вы думали, что поставите у себя в офисе линуксы и у вас все будет пучком, а за одно и денег сэкономите? Не, нифига. Вам нужен сертифицированный линукс (Альт Линукс Десктоп сертифицированный ФСТЭК стоит 7000 рублей в год, да-да именно в год), на который надо поставить сертифицированного Каспера (вы что, в приказе ФСТЭК написано что антивирус должен быть и все, пофиг что вирусов в linux нет), а прикрыть сеть из сертифицированных линуксов можно только сертифицированной виндой с сертифицированным firewall, потому что ни один firewall под linux не сертифицирован (бугага).
Но что такое эта самая сертификация? Смотрите: www.altlinux.ru/products/altlinux-spt-fstec/ внизу страницы выложены образы сертифицированного линукса для ознакомления. ТОЧНО ТАКОЙ ЖЕ дистрибутив, но купленный за 7 тыс и поставленный с CD сертифицирован, а скачанный с сайта байт-в-байт совпадащий с ним образ - нет. Маразм? Нет, дело в том, что компания АльтЛинукс, принадлежащая, кстати, госкорпорации Ростехнологии, затратила кучу бабла на получение бумажки от ФСТЭК и точно не будет раздавать диски с этой бумажкой нахаляву.
Итог такой: компании, которая работала себе годами, обрабатывала эти самые ПДн в своей собственной защищенной своими (весьма грамотными, что общепризнанно) специалистами среде, теперь должна потратить порядка лепехи денег на покупку говнософта с сертификатами, а так же ежегодно отваливать еще бабла чтобы эти сертификаты продлялись. И это при том, что безопасность хранения и обработки ПДн по нашему мнению вообще никак не увеличится, а вероятно даже и уменьшится.
Так для чего реально принимается ЗоПД №152-ФЗ? Для того, чтобы куча гос.контор заработала на сертификации всего и вся и отжала очередную порцию сливок со ВСЕГО бизнеса в этой стране. Ведь отдел кадров в любой компании, даже самой мелкой, тоже хранит персональные данные своих работников, которые тоже нужно защищать, разумеется.
А вы говорите взятки, инфляция и т.п.
(с) Антон Халиков. Директор NetAngels