пятница, 28 сентября 2012 г.

Обналичка за обезличку..

Ни для кого не секрет, что обезличивание персональных данных является одним из способов понижения требований к системе их защиты. Однако конкретные вопросы применения данного механизма на сегодняшний день в отечественной нормативной базе не проработаны. Непонятно, какие можно использовать методы обезличивания, не определены условия их применимости, регламенты использования и прочее, прочее, прочее. Например, в одном форуме, мне заявляли, что обязательным условием обезличивания является невозможность обратного преобразования данных персоналом системы. Сильно в этом сомневаюсь, на мой взгляд техническая возможность этого должна быть, но должны присутствовать организационные и технические меры, четко описывающие и контролирующие когда, кому и в связи с чем это можно делать. Единственным отечественным документом, который мне попался на глаза, хоть как-то перечисляющим возможные методы обезличивания являются "Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях банковской системы Российской Федерации" (там кстати тоже предусматриваются ситуации, когда в ИСПДн возможны операции, обратные обезличиванию). При этом перечисленные в этом документе методы взяты из NIST SP800‐122.
Так вот, 31 августа произошло интересное на мой взгляд событие - был опубликован конкурс на право выполнения работ по разработке требований и методов обезличивания персональных данных (ссылка). Я посмотрел техническое задание - предлагается создать классификатор с указанием перечня самих методов, а также различных условий и свойств каждого из них. В общем работа по систематизации. Заказчиком конкурса является РКН. Т.е. что мы имеем - регулятор обращается к специалистам по информационной безопасности с предложением выполнить экспертную работу, это может стать началом хорошей традиции. Условия работы мне показались вполне адекватными как по срокам, так и по квалификации. Никаких качественных оценок комиссии, что могло бы создать условия для лоббирования чьих-то интересов. Единственным критерием компетентности является количество работ по созданию ИСПДн, что создаст преимущество крупным игрокам (и это в данном случае думаю правильно, поскольку у крупных интеграторов больше возможностей по научным и аналитическим исследованиям). В первой половине октября станет ясно, кто победил и в результате чьих исследований (если они конечно будут, и все не скатится просто к дублю с международных стандартов) по этому вопросу РКН впоследствии выкатит документ, регламентирующий обезличивание. Как только информация по победителю появится - вставлю в комментарии. Страна должна знать своих героев ))



1 комментарий:

  1. Обещал добавить победившего на конкурсе - это оказалась "Практика Безопасности" (к сведению конкурентом у неё оказался только "РНТ", больше никто заявок не посылал). Что мог сказать про эту организацию - она автор отраслевого стандарта по ПД для Минздравсоцразвития, по-моему ещё для образовательных учреждений города Москвы они же стандарт защиты ПД писали. В общем написанные ими документы достаточно подробны в том числе, что касается описания методик и последовательности действий, но спорные моменты в их трактовке требований и предлагаемых ими возможных вариантов решений лично у меня есть. Поглядим, что на этот раз будет.

    ОтветитьУдалить