22 сентября 2011 г.

Осенний марафон информационной безопасности

4-6 октября в Экспоцентре на Красной Пресне пройдет выставка INFOBEZ-EXPO /ИнфоБезопасность – на мой взгляд, самое значимое профессиональное событие в области информационной безопасности, поскольку в таком объеме и по такому широкому кругу вопросов есть возможность пообщаться только здесь. Я в седьмой раз поддержу организаторов выставки-конференции и приму активное участие в мероприятиях деловой программы.
Обширная и насыщенная деловая программа - одно из основных преимуществ выставки. Что немаловажно – посетить ее любое мероприятие могут все желающие, а не только те, кто у кого есть бюджет на посещение деловых мероприятий, достаточно только заказать билет на сайте выставки. 
На форуме собирается немало отличных и авторитетных специалистов, готовых поделиться своим опытом и соображениями по поводу решения тех или иных, нередко непростых проблем информационной безопасности, здесь завязываются интересные дискуссии и профессиональные споры, а иногда и рождается истина J
Ниже – список мероприятий, в которых планирую принять участие.
Приглашаю всех желающих поучаствовать в многочисленных мероприятиях конференции, особенно – читателей блога «Рецепты безопасности от Емельянникова», имевших желание спросить, но не решившихся это сделать в Интернете, слушателей моих курсов, семинаров, вебинаров и др. мероприятий, у которых вопросы возникли уже после освоения материала, да и просто всех любознательных и любопытных.
04.10.2011, вторник
13:00-14:30 Форум «Конференц-зал»,
7 павильон,
5 зал
Круглый стол:  Киберпреступность. Хроники необъявленной войны
Ведущий:
Скасырский Я.
, глава представительства Fortinet в России
Вопросы для обсуждения:
·     Основные тренды и тенденции в области угроз
·     Киберпреступность как угроза государственности
·     Основные сложности в борьбе
·     Юридические аспекты
·     Практические рекомендации
Участники:
Емельянников М., управляющий партнер КА «Емельянников, Попова и партнеры»
Калачигина Н., менеджер по продуктам информационной безопасности SafeLine
Кузьмин О., директор департамента информационной безопасности «Ай-Теко»
14:45-16:15 Форум «Конференц-зал»,
7 павильон,
5 зал
Круглый стол:
Практика правоприменения закона о персональных данных
Ведущий: Емельянников М., управляющий партнер КА «Емельянников, Попова и партнеры»
Участники: 
Ершов Д., директор, Учебный центр «Информзащита»
Казакевич О., советник по вопросам безопасности АРБ
Сычев А., заместитель директора Департамента безопасности - начальник управления информационной безопасности, «Россельхозбанк»
Травкин Ю., советник государственной службы Российской Федерации 1-го класса
Эльянов М., президент АРМИТ
Приглашены представители Роскомнадзора, ФСБ и ФСТЭК.
Вопросы для обсуждения:
·     Проверка Роскомнадзора - глазами проверяемых и проверяющих
·     Критерии выбора организаций, подвергаемых плановым проверкам
·     Внеплановые проверки - законные основания и реальная практика
·     Разрешение споров между надзорными органами, операторами и субъектами в российских судах
·     Привлечение к ответственности. Результаты и последствия
·     Профессиональные объединения и лоббисты - их место и роль в круговороте персональных данных
·     Что реально нужно делать оператору для выполнения закона, и что он сделать не может
16:30-18:00
Семинары компаний,
7 павильон,
5 зал
Круглый стол:  Правовые и моральные аспекты внедрения средств мониторинга действий пользователей
Ведущий:  Кандыбович Д. - коммерческий директор, AtomPark Software 
Участники: 
Демурджан Ю.глава представительства PacketMotion в России 
Емельянников М., управляющий партнер КА «Емельянников, Попова и партнеры»
Комаров А.начальник отдела маркетинга, SafeLine
Мисурагин Д., генеральный директор, "Защита сети"
Вопросы для обсуждения:
·     Юридическая сторона вопроса: тайна переписки и конституционные права
·     Обязан ли работодатель сообщать сотрудникам о внедрении подобных систем?
·     Тайное внедрение - насколько это реализуемо на практике и правильно ли это?
·     Как внедрение систем мониторинга сказывается на атмосфере в коллективе?
·     Как правильно общаться с «нарушителями»?
·     Как оценить реальную стоимость  утечки информации
·     Размер ущерба работодателя от нецелевого расходования рабочего времени
05.10.2011, среда
14:15-16:15
Семинары компаний,
7 павильон,
5 зал
Круглый стол:  Комплексный подход к построению сертифицированной системы защиты информации организаций и предприятий
Организатор: компания «Код безопасности»
Ведущий: Емельянников М., КА «Емельянников, Попова и партнеры»
Участники:
Лысенко А., ведущий эксперт по вопросам защиты информации, «Код Безопасности» 
Соколов А., председатель комитета информационной безопасности АП КИТ 
Шабанов И., управляющий партнер Antimalware.ru 
16:30-18:00
Бизнес-семинары,
7 павильон,
5 зал
Экспертная панель 2011:  конкурс вопросов экспертам отрасли
Ведущий:
Конявский В.,
 научный руководитель, ВНИИ ПВТИ
Участвуют эксперты: 
Емельянников М., управляющий партнер, КА «Емельянников, Попова и партнеры»
Сердюк В., генеральный директор, «ДиалогНаука»
Устюжанин Д., руководитель Департамента информационной безопасности, «ВымпелКом»
Хайретдинов Р., заместитель генерального директора, «Инфовотч»
06.10.2011, четверг
13:00-14:30
Форум – «Конференц-зал»,
7 павильон,
5 зал
Конкурс новых продуктов и услуг:  «ЛЬВЫ и ГЛАДИАТОРЫ - 2011»
Ведущий: Емельянников М., управляющий партнер, КА «Емельянников, Попова и партнеры»
Л Ь В Ы:
Борисевич Л., начальник отдела информационной защиты, «Росгосстрах»
Волков А., старший менеджер Управления обеспечения бизнеса, Торговый Дом «Северсталь-Инвест»
Зингерман Б., заведующий отделом компьютеризации Гематологического научного центра РАМН
Маслов О., начальник Управления информационной безопасности, «ФосАгро АГ»
Овчинников А., заместитель начальника отдела Управления информационной безопасности, «Росбанк»
Трифаленков И., начальник отдела информационной безопасности проекта «Информационное общество», «Ростелеком»
Устюжанин Д., руководитель Департамента информационной безопасности, «ВымпелКом» 

Г Л А Д И А Т О Р Ы:

Гулиян В., технический эксперт российского представительства Fortinet защищает решение комплексной сетевой безопасности FortiGate.
Даниленко А., директор технического центра, НИИ СОКБ, защищает центр управления корпоративной сотовой связью SafePhone.
Кандыбович Д., руководитель отдела продаж, AtomPark Software, защищает система корпоративной информационной безопасности Security Curator.
Касимов В., начальник управления информационной безопасности, «Инфосекьюрити Сервис», защищает уникальную систему антифрода в ДБО - ЧП Антифрод.
Ковалёв П., системный инженер, Imperva File Security, защищает решение для защиты web-приложений, баз данных и файловых хранилищ Imperva File Security.
Руденко В., руководитель направления комплексных решений по информационной безопасности, «ДиалогНаука», защищает  решение для обеспечения соответствия требованиям по безопасности и защиты от внутренних и внешних угроз ArcSight ESM 5.0.
Шахлевич А., руководитель направления информационной безопасности, «Нетвелл», защищает решение для защиты от DDoS-атак 
Arbor Pravail.
10:30-12:00 Бизнес-семинары,
7 павильон,
5 зал
Круглый стол: Защита коммерческой тайны
Ведущий: Емельянников М., управляющий партнер, КА «Емельянников, Попова и партнеры»

Участники:

Бажин А., руководитель Департамента информационной безопасности компании «Брокеркредитсервис»
Кириллов А., советник генерального директора ОАО «Северсталь»
Масалович А., президент консорциума «Инфорус»
Приглашены: юрист из ведущей юридической компании; представитель правоохранительных органов; представитель частного детективного агентства; руководитель службы экономической безопасности крупнейшего промышленного холдинга.
Вопросы для обсуждения:
·     Коммерческая тайна в российских судах. Практика и выводы.
·     Разрушил ли А.Навальный институт коммерческой тайны российских корпораций. Бизнес-разведка с одной акцией в руках.
·     Как доказать, что уволившийся сотрудник унес и использует секрет работодателя. Глазами правоохранителя, адвоката и безопасника.
·     Чем поможет детективное агентство. Сбор доказательств по утечке.
·     Что нужно сделать для защиты коммерческой тайны в информационной системе. Взгляд CISO кредитно-финансовой организации.

18 сентября 2011 г.

ФЗ-152: стоит ли занимать выжидательную позицию?

12 октября, когда утихнут волнения вокруг двух конкурирующих выставок по информационной безопасности, каждая из которых, к тому же, сопровождается радикально отличающимися друг от друга конференциями, и специалисты уже вернутся к своим повседневным обязанностям, в Учебном центре «Информзащита» состоится премьера моей принципиально новой авторской программы «Изменения законодательства о персональных данных и последствия для операторов».
Не стоит забывать, что ФЗ-152 вступил в полную силу, а все отсрочки по приведению порядка обработки персональных данных в соответствие с ним закончились. Все без исключения контрольные и надзорные органы на вполне законном основании осуществляют свою деятельность по проверке организаций, а для выполнения принципиально новых требований (в частности, по статьям 18прим и 22прим) никаких дополнительных сроков не предусмотрено. Единственная проблема сегодня, фактически, в требованиях по технической защите, но и без них работы слишком много.
С подачи некоторых не очень добросовестных и компетентных «советчиков»  у части операторов персональных данных сложилось впечатление, что минимальные размеры штрафов позволят при проверках обойтись малой кровью. Это не так. Прямое следствие выявленных в ходе проверки  недостатков – получение организацией предписания об их устранении с конкретными сроками. А устранить нарушения при отсутствии предварительной работы быстро никак не получится. Отсюда – новые санкции, в том числе, к руководству организаций, вплоть до дисквалификации.
Принципиально новой я считаю программу обучения потому, что она построена по совершенно иному принципу, чем предыдущие четыре учебных курса. Стандартный подход, который использовался в курсах, рассматривающих проблемы обеспечения соответствия законодательству о коммерческой тайне, персональных данных, специфике его применения в кредитно-финансовых учреждениях и задачам в области информационной безопасности, которые приходится решать работникам кадровых органов, заключался в том, что последовательно рассматривались требования нормативно-правовых актов  анализировались практические действия, из них вытекающие и риски, связанные с невыполнением требований. Федеральные законы, кодексы, постановления Правительства и указы Президента, нормативно-методические документы уполномоченных органов власти рассматривались as is, как есть. Естественно такой подход был рассчитан на тех, кто хочет детально разобраться в проблеме «с нуля» или, как в курсе для банков, получить ответы на наиболее сложные вопросы, которые в очевидном, простом виде в законах и подзаконных актах не содержатся.
Трансформация Федерального закона «О персональных данных», вызванная принятым в июле ФЗ-261, заставила по-иному взглянуть на проблему соответствия порядка обработки персональных данных закону. Изменения в законе иногда просто радикальны, а смысл их зачастую запрятан так глубоко, что при  поверхностном прочтении совершенно не виден. Чего стоят только слова «прямо или косвенно» в определении персональных данных или исчезновение из ФЗ-152 определения такого вида их обработки, как использование!  
В этих условиях у добросовестных и законопослушных организаций, а также занятых в них данной проблематикой специалистов неизбежно встает вопрос: «А что же мы за пять лет наваяли по выполнению закона, и что теперь с этим делать? Что можно оставить, что переделать, а что сделать полностью заново, дополнительно?». Можно, конечно, сесть за текст нового закона, лучше – вместе с юристами, и попытаться разобраться в этом самим. В том случае неплохо основательно пошариться по блогам-форумам-специализированным сайтам-изданиям и почитать, что думают другие. Очень увлекательно и полезно. Но долго.
А можно изучить результаты труда тех, для кого эта работа – один из основных видов деятельности и совметно с такими же специалистами, перед которыми стоят аналогичные вопросы и которым поставлены аналогичные задачи, обсудить предлагаемые выводы и рекомендации. Что, собственно, и будет на новом учебном курсе, о котором я пишу.
Детальное, часто в виде таблицы «было-стало», сравнение текстов закона в старой и новой редакции, подробный анализ всех нововведений и констатация тех положений, которых в новом тексте не стало, позволяет получить целостную и систематизированную картину как произошедших изменений, так и того, что надо сделать для достижения соответствия. Для иллюстрации – пара слайдов из нового курса.
Интеграторо- и вендоро- независимость не сковывает руки и позволяет не оглядываться на интересы, связанные с сертификацией, аттестацией, лицензированием, а дать объективную картину. После каждого раздела – время на вопросы-ответы-обсуждения.
Есть и бонус, но только для пришедших на премьеру 12 октября. Каждый из участников курса сможет до 5 октября задать один вопрос, который будет рассмотрен в процессе обучения в виде практического кейса – анализа практической ситуации. Т.е. получит бесплатный микро-консалтинг по мучающей проблеме.
И в завершение. Я категорически против появления в отношении ФЗ-152 истин в последних инстанциях. Я анализирую и делаю выводы, предлагаю их Вам. Вы с ними соглашаетесь или спорите, принимаете или нет. Сегодня «окончательных справок для Швондера» по ФЗ-152 нет и быть не может, как бы в этом не убеждали некоторые авторы курсов и учебные центры. Есть поиск путей выхода из ситуации, созданной новой редакцией закона, формирование и закрепление в своих локальных актах позиции оператора персональных данных, которую он будет отстаивать во взаимоотношениях с субъектами и регуляторами. Чем подготовленнее и грамотнее будут отстаивающие права, тем проще им будет выполнять эту непростую задачу. И новый курс – подспорье для этого, а не универсальная пилюля, излечивающая от всех проблем.

14 сентября 2011 г.

На пороге катастроф. О том ли мы думаем сегодня?

Пока мы пережевываем в деталях никому, в общем-то, не нужный закон о персональных данных, навязанный каждой организации и каждому предприятию разгоряченными стремлением в ВТО законодателями и регуляторами, увидевшими еще одну возможность порегулировать, каждый гражданин живет под гораздо более опасными рисками, имя которым по-русски – АСУ ТП, а во всем остальном мире – SCADA.
Когда мы садимся в самолет, экспресс «Сапсан» или местный дизель, кланяющийся каждому верстовому столбу, включаем свет в квартире или откручиваем кран с водой, мы попадаем под власть этой загадочной силы. Когда рушится Саяно-Шушенская ГЭС, разрушаются и заражают все вокруг реакторы Фукусимы, встает бромное желтое облако над Челябинском или оранжевое – над литейным цехом где-нибудь в Ижевске или Магнитогорске, эта загадочная АСУ ТП рыкает на цивилизацию и требует жертвоприношения. И жертвы приносятся, безвинные, бессмысленные и многочисленные.
Со времен станков с числовым программным управлением автоматизированные системы управления технологическими процессами (АСУ ТП) жили абсолютно отдельно от автоматизации предприятий и построения в них локальных вычислительных сетей. Офисные системы, коммерческие приложения и даже системы управления предприятиями (не по-русски - ERP) развивались по одним правилам, в которых постепенно появлялись средства защиты от вредоносного контента (антивирусной, анти-фрод, анти-шпионской и прочей анти-защиты), обнаружения и предупреждения вторжений, межсетевого экранирования, противодействия несанкционированному доступу и далее со всеми остановками. АСУ ТП сначала жили в мире DOS (очень долго, а некоторые – и до сих пор), затем - Windows, UNIX или Linux, но со своими, почему-то совсем другими правилами.
Когда все АСУ ТП существовали совсем изолированно, не выходя за периметр предприятия, никто особенно вопросами безопасности этих систем не задавался. Ими в советской и пост-советской экономике командовали главные инженеры, энергетики, технологи, не подпуская пижонов (тех, которых теперь называют CIO или ДИС), строивших сети на клиент-серверной технологии, к своей святая святых. Между тем, до сих пор многие специалисты в США считают самым успешным примером применения кибер-оружия взрыв газопровода в Сибири в 80-е годы, ставший возможным в результате программной закладки в поставленную американцами систему управления этим самым  газопроводом.
А уж когда АСУ ТП стали активно подключаться к Интернету (потому как разработчик железа, софта или сервисная организация находятся далеко от самого предприятия), для их построения, как гордо рапортовали интеграторы, начали активно применяться виртуальные локальные сети. Закончилось это хаосом на иранских центрифугах, зараженных Stuxnet’ом и путавших день с ночью, старт – с остановом, а недопустимую норму – с минимальной, стало ясно, что так дальше жить нельзя.
А как можно? Главные инженеры, технологи и энергетики этого не знали. Директора информационных служб – тоже, потому что их раньше в этот огород не допускали. Руководители служб информационной и просто безопасности – тем более, потому как они про эти АСУ ТП не знали вообще ничего.
И вдруг многим, кто интересуется темой, стало очень страшно. Не специалистам даже – простым обывателям, садящимся в эти самые поезда и самолеты или живущим около ядерных и гидро- станций, металлургических заводов и очистных сооружений, железнодорожных узлов и складов Министерства обороны.
Страшно, потому что масштаб возможных последствий нарушений в этих системах потенциально является катастрофическим. Заинтересованными в решении этой назревшей, как фурункул, проблемы должны быть владельцы бизнеса и топ-менеджеры, отвечающие за производство, поскольку это - их прямая зона ответственности. Но, по ряду причин интереса, особого нет.
Однако интерес проявили компании, предлагающие услуги на рынке ИБ. Это – новый сегмент, и весьма перспективный. Но достучаться они до менеджмента не могут в силу простой причины – языки общения у них разные. ИБ-компании привыкли иметь дело со своими коллегами у заказчика, в самом сложном случае – с ИТ-директорами. А здесь потенциальным заказчиком является  главный инженер, главный технолог, главный энергетик, замруководителя по производству. Как с ними говорить? О чем? Об эксплойтах, уязвимостях нулевого дня и пенетрейшн-тесте? Бесполезно. Заказчики все больше про невмешательство в технологический процесс, непрерывность, невозможность остановки процесса для всяких там непонятных тестов. Вот и не сходятся они никак вместе.
Ни простые проблемы управления идентификацией, доступом и правами, ни сложные – поиска недекларированных возможностей, критичных уязвимостей, возможностей враждебных воздействий при создании АСУ ТП, как правило, не решаются. И обеспечения безопасности АСУ ТП на предприятии нередко нет никакого вообще.
Ситуация усугубляется тем, что, как показывает история со Stuxnet, защититься от целевой атаки с использованием вредоносного кода, написанного специально под жертву, практически невозможно. Более того, червь эксплуатировал для атаки и скрытия своих действий наиболее распространенные антивирусные программы. На новые вызовы, получившие название Advanced Persistent Threat, адекватный ответ пока не получен. В этих условиях неизбежно приходится думать о возврате к изоляции программной среды и ее замкнутости, отключению АСУ ТП от Интернета, что не всегда возможно по технологическим причинам. Все это еще более усложняет и без того непростую ситуацию.
Для решения проблемы нужны очень квалифицированные специалисты, понимающие архитектуру именно АСУ ТП, особенности ее функционирования, умеющие анализировать специфический софт, строить сценарии развития событий в случаях возникновения нарушений, доносить информацию владельцам технологических процессов в понятных им терминах. Нужен тщательный анализ лучших практик по западным стандартам SCADA, грамотный перевод и адаптация уже существующих в них стандартов обеспечения безопасности. Все это – серьезные вложения с неочевидной отдачей. Поэтому заниматься безопасностью АСУ ТП хотят очень многие, но они предпочитают не инвестировать в исследования, а тренироваться на клиентах, которым такой подход совсем не нравится. Вот и не срастаются проекты при очевидной актуальности проблемы.
А сталь плавится, самолеты летают, турбины крутятся. И каждая новая катастрофа – на 99,9% результат сбоя, изъяна или несовершенства АСУ ТП.
Может, лучше заняться этим, а не искать способы еще раз надавить на предприятия, получившие вдобавок к тому что было, гордое имя «операторов персональных данных»? Если жахнет очередная АСУ ТП, мало никому опять не покажется. А персданные... Жили же мы как-то и без этого закона...

Несимметрично, но адекватно

Пока наши регуляторы решают практически неразрешимую в терминах ФЗ-152, но крайне актуальную задачу соответствия принятых оператором мер по защите персональных данных требованиям федерального закона, ведущие игроки российского рынка информационной безопасности предложили свой адекватный, но не симметричный ответ на вызов регуляторов.
В течение почти пяти лет правоприменения закона «О персональных данных» стало очевидно, что ни аттестация информационных систем (в соответствии с Положением Гостехкомиссии, с 1994 г. - ФСТЭК), ни сертификация информационных технологий (по ГОСТ ИСО/МЭК 15408), ни декларирование соответствия по закону о техническом регулировании для информационных систем персональных данных не подходят. Причин – множество, в Интернете об этом написано много, повторяться не будем.
А когда нет предложений у регуляторов, естественно ожидать предложений от игроков рынка. И они не заставили себя ждать.
Ведущие компании, предлагающие услуги и продукты для защиты персональных данных в России: «Альт Линукс», «Аладдин Р.Д.», «Доктор Веб», «Лаборатория Касперского», «Код Безопасности», InfoWatch, McAfee, – выдвинули идею создания «Народного логотипа защиты ПДн» для компаний-операторов, защитивших персональные данные в соответствии с №152-ФЗ «О персональных данных».
Учитывая требования закона об обязательности оценки соответствия средств защиты персональных данных (читай – их сертификации в системах ФСТЭК и/или ФСБ), инициаторы вполне логично предложили использовать логотип для систем, построенных на сертифицированных решениях.
Теперь остается ждать развития этого интересного начинания. Наверное, следующим шагом должно стать четкое определение того, что конкретно значит размещение логотипа на сайте оператора для каждого конкретного субъекта. Учитывая требования закона об опубликовании политики оператора в отношении обработки персональных данных и сведений о реализуемых требованиях к их защите, логотип будет неким аналогом декларирования соответствия, причем кто-то должен будет подтвердить, при необходимости, легитимность его использования.
Логично было бы предположить, что после голосования и выбора логотипа появится положение о том, кто и как его предоставляет для скачивания, можно ли отозвать скачанный логотип, что подтверждает законность его получения и т.д. Иначе существует реальная опасность того, что логотип начнут бесконтрольно размещать на своих сайтах все желающие, и красивую идею угробят. Да и о том, как соотнести идею с позицией регуляторов, тоже можно было бы подумать.
Так что ждем. Идея добровольной сертификации средств защиты информации в профессиональном сообществе витает давно. Может быть, логотип станет очередным шагом в этом направлении? Голосуйте! 

6 сентября 2011 г.

Вокруг ФЗ-152

Общее представление о ситуации вокруг ФЗ-152 "О персональных данных" можно получить, прочитав мое интервью обозревателю журнала "Директор информационной службы" Олегу Седову.
В интервью даны ответы на вопросы:
·     Как вы оцениваете развитие ситуации вокруг закона № 152-ФЗ?
·     В чем суть принятых изменений?
·     Как уполномоченные органы выбирают, кого проверять?
·     Вопрос защиты персданных все дальше уходит из компетенции специалистов по ИБ и ИТ к юристам. Так ли это?
·     Что в итоге делать операторам персданных?
Если же тематика персданных интересует более глубоко, на ряд вопросов ответы можно найти здесь:
·     О терминах и определениях нового закона – ведь от понятийной базы зависит многое
И напоследок – о том, как изменился мир, в котором мы живем, не забывайте об этом.

4 сентября 2011 г.

Со мною вот что происходит

Бойцам кадрового фронта, медицинских регистратур, учебных отделов посвящается
Мой лучший друг ко мне не ходит. А ходят в праздной суете разнообразные не те: Роскомнадзор (план заходов), ФСБ (план) и ФСТЭК (план). Захаживает также, обычно по приглашению вышеуказанных гостей, прокуратура, без плана, но «в рамках надзора за соблюдением прав и свобод человека и гражданина органами власти, местного самоуправления, а также органами управления и руководителями коммерческих и некоммерческих организаций».
Какие потенциальные угрозы национальной безопасности может создать обработка персональных данных в чувашском ООО «Шупашкартранс-К», заинтересовавшем Роскомнадзор, утечка персональных данных за счет побочных электромагнитных излучений в Новочеркасском техническом университете, озаботившем ФСТЭК, применение несертифицированной криптографии или ее полное отсутствие в Кызылском Муниципальном родильном доме № 1, тревожащее ФСБ, могут знать только регуляторы, включившие эти объекты в свои планы.
Ну нет в школе, вузе, техникуме, районной больнице, кожно-венерическом диспансере и фирме по установке пластиковых окон службы безопасности, не только информационной безопасности, на которую, при ее наличии, почему-то свалили все проблемы обработки персональных данных и соответствия ФЗ-152, но вообще никакой. И даже отдела автоматизации нет, а уж ИТ-департамента или, что совсем круто, CIO, тем более нет.
А вот персональные данные есть. Работников, пациентов, учащихся, брачующихся и даже жильцов. И компьютеры тоже есть. И сетку талантливый выпускник перед выходом поднял. И домен построил. Потому как у нас в нашем Нижнем Высоковольтске «Электронный город» построили и строго-настрого наказали только в нем и жить. Компы приказали самим найти (а родители вам на что? А молодоженов вне очереди как вы в сентябре регистрируете? А что, пациентов нормальных нет, одни нищие?). Мы люди сообразительные, компы теперь есть. И даже один сервер. На нем 1С с областного радиорынка стоит. А вот софт для «Электронного Н.Высоковольтска» дали бесплатно, что было, то было. Правда, сначала прислали в пакетике Linux, и сказали, что ничего другого ставить нельзя, иначе, как у пермского учителя, тюрьма будет ваш дом. А вот ту часть «Электронного города», которая обеспечивает единый учет трудоспособного населения,сделали под Windows, потому как тендер другой был.
Про персональные данные нам вообще никто ничего не рассказывал. Потом слухи стали всякие доходить про какой-то Роскомнадзор, о котором на нашем трубопрокатном заводе никто вообще не слышал. Я у приятеля с телефонной станции спросил, он говорит, знаю, нашему главному в областном центре лицензию на связь дает и следит, чтобы с сотового телефона в соседней области через нас позвонить нельзя было. А про персональные данные слышал? Да, говорит, слышал. Нас тут проверяли недавно. Называется «мультитерриториальная проверка оператора связи, осуществляющего деятельность в нескольких субъектах Российской Федерации». А тут с этого самого Роскомнадзора письмо приходит. А в нем: «Все юридические лица, не направившие уведомление в территориальное управление Роскомнадзора и не подпадающие под исключения, предусмотренные частью второй статьи 22 ФЗ «О персональных данных», будут привлечены к административной ответственности...» ну, и дальше такими же словами.
Вызывает меня, начальника отдела кадров, наш генеральный и говорит: «У тебя там трудовые книжки всякие и личные дела лежат? Вот ты и разбирайся, что с ними делать. На «Кадровые системы» для компьютеров у меня деньги просил? Просил! Я дал? Дал! Пользуетесь? Вот и отвечай по закону!». Я к юрисконсульту, ну, а она мне дорогу нарисовала – не хуже слесаря из сборочного. Теми же словами.
Деваться некуда. Взял я этот закон «О персональных данных». Стал сам читать. Операторы, прямо или косвенно, трансграничная передача, уточнение (обновление, изменение), данные подлежащие обязательному раскрытию. Черт ногу сломит. Но генеральный у нас суровый мужик. Сказал, что если предписание прокуратура выпишет или в суд по поводу штрафа вызовут – он меня первым уволит. А он у нас серьезный: сказал, значит сделал, уволит. Так что разбираться придется. Тем более, что дочка в Интернете посидела и в плане Роскомнадзора на 2011 год наш заводик нашла. Придут, значит…
Ну, а теперь не от лица начальника отдела кадров, а от себя. Ситуация печальная, но, к сожалению, типичная. Тем более, что происходит то, чего все опасались. На многочисленных ресурсах Интернета начали обсуждаться варианты «наездов» на операторов персональных данных в связи с невыплаченной премией, плохим качеством связи дома или тухлой колбасой в магазине. Оказалось, про премию качать права – безнадега, а вот нажаловаться на невыполнение ФЗ-152 в родном НИИ – проще некуда. И не только варианты наездов обсуждаются, но и детальные сценарии.
Ситуация усугубляется тем, что появилось огромное количество доброхотов, закон первый раз прочитавших или только слыхавших о нем и начавших не только комментировать, но и советовать.
А теперь – рекламная пауза. Специально для кадровиков, юристов и прочих, оказавшихся помимо воли в центре коллизий с персональными данными,  особенно для тех, у кого на предприятии службы безопасности нет, а юрисконсульты не вылезают из проблем выбивания дебиторки в судах, создан учебный курс «Информационная безопасность для специалиста кадровой службы», в котором детально, и что очень важно, в объеме, рассчитанном именно на специалиста по работе с персоналом, юрисконсульта, инспектора учебного отдела, рассматриваются вопросы выполнения законодательства о персональных данных с учетом последних изменений, внесенных ФЗ-261 в закон «О персональных данных». Детально обсуждаются проблемы государственного контроля и надзора, применительно опять-таки к персональным данным.
В качестве бонуса слушателям курса – анализ появляющихся у кадровиков и смежных специалистов проблем в связи с установлением на предприятии режима коммерческой тайны, общее представление о государственном регулировании проблем информационной безопасности (кто, за что и как отвечает, определяет, устанавливает), а также типовые документы, без которых не обойтись при организации работы с персональными данными и регулировании отношений с работниками, связанных с коммерческой тайной. Ближайший общедоступный курс – в Учебном центре «Информзащита» 23 сентября.