Страницы

Как обезличить миллион

─────█─▄▀█──█▀▄─█─────
────▐▌──────────▐▌────
────█▌▀▄──▄▄──▄▀▐█────
───▐██──▀▀──▀▀──██▌───
──▄████▄──▐▌──▄████▄──

Эти рекомендации по обезличиванию были разработаны в рамках ПП211, устанавливающего перечень мер по обеспечению безопасности персональных данных в гос.организациях.

С этим документом связана одна интересная история

Год назад Роскомнадзор проводил открытый конкурс на право разработки требований и методов обезличивания персональных данных. Выграла конкурс Практика безопасности за 2,6 млн. рублей (при начальной стоимости в 3,5 млн).


Таким образом Роскомнадзор заплатил по 450 тысяч рублей государственных денег за каждую страницу этого 6 страничного документа. Не многовато?

Ещё удивительней то, что автор опубликованного проекта (смотрим метаданные документа) - Шередин Роман Валериевич, заместитель руководителя Роскомнадзора, в 2011 году защитил кандидатскую диссертацию по теме "Защита персональных данных в информационных системах методом обезличивания".

Если сравнить оглавление кандидатской и проект приказа, то можно сделать вывод о том, что текущий проект приказа во многом взят именно оттуда.

Таким образом получается, что Роскомнадзор заплатил 2,6 миллиона рублей за 6 страничный документ, похожий на кандидатскую диссертацию заместителя руководителя Роскомнадзора.
Как такое могло произойти?

20 комментариев:

  1. Это Россия ...)

    ОтветитьУдалить
  2. Пишите в Прокуратуру РФ!

    ОтветитьУдалить
    Ответы
    1. Тогда в РосПил)) Чтобы они как минимум вытащили и проанализировали документы, пока всё волшебным образом не исчезло))

      Удалить
  3. Бабахнул, так бабахнул! Метаданные - зло.

    ОтветитьУдалить
  4. Люди зарабатывают своей башкой. Не завидуйте, господа, не стОит.

    ОтветитьУдалить
    Ответы
    1. Тогда надо выпустить ВСЕХ посаженых за экономические преступления, а так же взяточников и мошенников. И больше таких не ловить и не наказывать. Ведь все они "зарабатывают своей башкой".

      Удалить
  5. История с самого начала интересная: в Постановлении Правительства прописали, что требования и методы обезличивания устанавливает Роскомнадзор. Он в свою очередь проводит конкурс на право разработки требований и методов с начальной стоимостью 3,5 млн... нда

    ОтветитьУдалить
  6. Свидетельство об аккредитации в области персональных данных выданное ЗАО "Практика безопасности":
    http://www.security-practice.ru/images/remote/http--security-practice.ru-images-lic-sv1.jpg
    http://www.security-practice.ru/images/remote/http--security-practice.ru-images-lic-sv2.jpg
    См.подпись. В свете написанного наталкивает на некоторые мысли.

    ОтветитьУдалить
    Ответы
    1. Его подпись там и должна быть. А такое свидетельство есть в портфеле у любого крупного интегратора сейчас.

      Если у вас в руках молоток, то все похоже на гвоздь.

      Удалить
    2. А если даты сравнить? И какое по счету им было выдано свидетельство?

      Удалить
    3. Уже интересней :). По-моему, об аккредитации было объявлено уже после того, как они получили свидетельство.

      Удалить
  7. Мне искренне жаль минздрав,который свою медицинскую статистику будет приводить в соответствие с этим приказом, оценивая стойкость обезличивания и ввода шифры перестановок.
    Какая там у них стойкость? Что в реальном времени вскрываются? ЧТО??? НЕЛЬЗЯ ШИФРОВАТЬСЯ НА АЛГОРИТМЕ???? ТОЛЬКО НА СТОЙКОСТИ КЛЮЧЕЙ??????
    Надо паравозиком к такой интересной новости и совет который ему выдал кандидатскую проверять на научную профпригодность.

    ОтветитьУдалить
  8. Как-то Роскомнадзор в вопросах и ответах на вопрос можно ли обезличивать путем подстановок, ответил, что это уже шифрование и сфера компетенции ФСБ. А теперь вона как.

    ОтветитьУдалить
  9. У меня были некоторые сомнения в адекватности всей этой работы с методами обезличивания, но чтобы настолько. Признаюсь, не ожидал. Остается только удивляться способам внедрения "научных" мыслей некоторых высокопоставленных товарищей ))

    ОтветитьУдалить
  10. Сам Приказ больше похож на рекламу!

    ОтветитьУдалить
  11. Ознакомьтесь с диссертацией Романа Шередина "Защита персональных данных в информационных системах методом обезличивания" (ее защита состоялась 20 декабря 2011 г. на заседании диссертационного совета Д 212.133.03 при МИЭМ).
    В ней много ошибок.
    Во-первых, Р. Шередин указан как автор публикаций и литературы, на которую даны ссылки. Однако сам он автором не является.
    Кроме того требует проверки сам список публикаций и содержание работ по теме диссертации, которые якобы размещались на портале персональных данных Роскомнадзора. Портал ПД зарегистрирован как СМИ 08.09.2010 (Эл. № ФС77-41899).
    Обратите внимание на то, что основные результаты и вопросы диссертации, приведенные в пункте «апробация работы» не обсуждались на указанных мероприятиях, в том числе на заседании Консультативного совета Роскомнадзора, на конференциях и других указанных мероприятиях.
    Методы обезличивания и деобезличивания персональных данных, указанные в его диссертации не исследованы. Каким образом работать с обезличенными ПД? Сам алгоритм обезличивания нигде не опубликован и не апробирован. Кто из операторов его метод применял? Хотя в соответствии с ФЗ «О персональных данных» обезличивание ПД отнесено к их обработке. Вызывает много вопросов и новый приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию ПД». Где и кем эти 4 (четыре) метода опробованы и внедрены?
    Заявление о том, что обезличивание ПД снизит административную нагрузку на операторов, - это пиарный ход или реальная действительность? На самом деле, эти методы могут потребовать от операторов, осуществляющих обработку ПД в автоматизированных информационных системах ПД (ИСПД) задействования значительных ресурсов. А что делать операторам, являющимися государственными и муниципальными органами, которые свои ИСПД уже классифицировали?
    Прежде, чем приступить к реализации методов обезличивания, предлагаемыми идеологом Р. Шерединым, необходимо изучить руководящие документы и рекомендации Роскомнадзора, как Уполномоченного органа по защите прав субъектов ПД, которых очевидно нет, кроме сырой диссертации заместителя руководителя Роскомнадзора Р. Шередина и изданного приказа, ФСТЭК и ФСБ России. Соответствуют ли эти методы требованиям безопасности, предъявляемые ФСТЭК и ФСБ России??
    «До конца ноября они будут утверждены и доведены до всех государственных и муниципальных органов операторов, оперирующих персональными данными», - подчеркнул Р. Шередин. Что касается обещанных методических рекомендаций, ноябрь заканчился, а их все нет!?
    Диссертация Р. Шередина и поднятые в ней вопросы требуют тщательной проверки компетентными органами со стороны ФСБ, ФТЭК и Министерства образования и науки
    России.

    ОтветитьУдалить
    Ответы
    1. Вы правы. Тут вот мой технический взгляд на то, что предложил РКН http://www.itsec.pro/2013/12/blog-post_20.html

      Удалить