`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

«Время учиться смотреть, как движется лед»


Практически незамеченным прошло весьма важное событие для национальной ИТ-индустрии: 25 июня был принят в первом чтении проект Закона Украины «О защите персональных данных». Большой и несколько неожиданный успех нашего парламента.

Можно считать, что начало этому процессу было положено еще Конвенцией Совета Европы «О защите индивидуумов при автоматической обработке персональных данных» от 1981 г. Хотя наша страна к ней так и не присоединилась – в отличие от ряда других государств СНГ, которые конвенцию подписали, тем самым выразив намерение следовать ей, и многих европейских стран, ратифицировавших ее, т. е. признавших обязательной к исполнению наравне со своими законами. Затем была Директива Евросоюза № 95/46 от 1995 г. «О защите физических лиц при обработке персональных данных, а также о свободном перемещении таких данных», в соответствии с которой тогдашние страны-члены ЕС и страны-кандидаты оперативно модифицировали свое законодательство.

Таким образом, в странах, которые сегодня входят в ЕС, законодательство в данной сфере появилось достаточно давно, и уже накоплена значительная практика его соблюдения. К примеру, в Эстонии, чтобы заглянуть в тот или иной электронный реестр, полицейский должен запросить и получить соответствующее разрешение, в котором будет указано, какие именно записи ему позволено смотреть, при этом процесс просмотра должен документироваться. В нашей стране подобные операции проводятся пока что, видимо, по-другому.

Но и это еще не все. Директива ЕС № 2002/58 («О защите частной жизни и об электронных коммуникациях») включила в список тех, кто обязан соблюдать строгие правила обработки персональных данных, интернет-провайдеров, телекоммуникационные компании и других поставщиков онлайн-услуг.

Насколько все это важно, говорит тот факт, что Министерство торговли США утвердило программу сертификации компаний своей страны на соответствие европейским требованиям защиты персональных данных под названием Safe Harbor («безопасная гавань»), которая была одобрена ЕС в 2000 г. Не пройдя эту сертификацию, крайне сложно что-либо продать европейским покупателям в онлайне. На сайте Министерства торговли США в отдельном разделе есть список компаний, ее прошедших. Для Microsoft, в частности, указаны дата присоединения к Safe Harbor (29.06.2001 г.); срок очередной сертификации (до 29.06.2010 г.); список стран, из которых поступают персональные данные (весь ЕС, если не ошибаюсь); перечень собираемых сведений; данные об аудиторах и много чего другого. Естественно, остальные известные компании (Apple, Google, IBM и т. д.) также присутствуют в этом списке.

Несложно догадаться, что чемпионат Европы по футболу 2012 г. со всей остротой поставит задачу принятия нашего аналога Safe Harbor и в Украине – причем уже в самое ближайшее время. Пока же имеется только проект закона, его еще раз нуж-но поставить на голосование, возможно, внеся некоторые правки. Затем следует заняться практической реализацией механизмов его исполнения и убедиться в их работоспособности. Для всего этого, конечно, требуется время, а пока юристы могут выполнить сравнительный анализ нашего законопроекта и законов, действующих в ЕС или США, и скорее всего, найдут ряд различий и несоответствий.

Итак, во всех «цивилизованных» государствах уже более десяти лет действует система защиты персональных данных – на организационном и технологическом уровнях. Первый подразумевает наличие в каждой компании соответствующих приказов и инструкций, которые доведены до персонала и им исполняются. Второй – шифрование данных и каналов связи, причем с помощью криптоалгоритмов, разрешенных к использованию, т. е. одобренных государством. Но если учесть, что сегодня сложные ИТ-системы фактически собираются из готовых компонентов, то неизбежно встанет вопрос: какие криптоалгоритмы в них встроены и можно ли их использовать в нашей стране официально?

Наука Software Engineering утверждает, что чем раньше в процессе создания системы допущена ошибка, тем сложнее ее будет потом устранять. И, похоже, нечто подобное уже случилось с действующим национальным законодательством об электронной цифровой подписи, согласно которому на государство в лице его исполнительной власти в свое время был возложен ряд функций, выполняющихся в других странах субъектами рынка. В итоге государство теперь должно отдуваться за других, и исправить такое положение дел очень сложно. С защитой персональных данных может выйти аналогичная история, но наоборот: забудем навести порядок, где нужно. Очень не хотелось бы еще раз наступить на грабли.

+55
голосов

Напечатать Отправить другу

Закон принят в первом чтении. Будет ли второе неизвестно.
Но скоро можно будет писать аннотации к законам по аналогии с рекламными статьями - "Закон принят для наполнения бюджета. Исполнение закона не гарантируется."

Какие варианты развития ситуации существуют на сегодняшний день?

Есть ли лобби в верховной раде у софтверных компаний продающих продукты с встроенными системами защиты ?

История этого закона довольно печальная. В 2007 году уже раз его ветировали или два(?). Считайте меня пессимистом, но вряд ли игра в мяч в 2012 здесь поможет.

Очень хотелось бы чтобы он был принят и начал работу. Но верится с трудом. Почему?
Обратите внимание на происходящее в наших больницах сегодня. В регистратуре содержатся сведения о том, где вы живете, ваши болезни и т.д. Это персональные данные?
А кто гарантирует их сохранность? А как ее обеспечить?
А бесконечный сбор данных в магазинах при оформлении карточек на скидки. Кто гарантирует что эти данные никуда не уйдут? У меня таких гарантий нет. А у вас?
Microsoft Security Trusted Adviser
MVP Consumer Security

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT