Ср май 30, 2012 9:12 am
Тема обработки и защиты персональных данных очень большая. Уже несколько лет государство пытается "навести" порядок в этом деле.
Если коротко: обработка персональных данных регулируется законом 152-ФЗ от 27.07.2006 года. В рамках исполнения этого закона ответственными и надсматривающими назначены ФСТЭК, ФСБ ,Мининформсвязь. В свою очередь они издали положения, инструкции, приказы - так называемое "четырехкнижие" ФСТЭК, которое стало двукнижием (Методические материалы),"Приказ трех" (ФСТЭК РФ, ФСБ РФ и Мининформсвязи РФ от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных») и есть еще "двукнижие" ФСБ, о котором забыли упомянуть
Все эти документы не особо сильно обеспечивают защиту персональных данных, но требуют от оператора, т.е. от того, кто собственно обрабатывает персональные данные значительных затрат и написанию большого количества документов. Ряд положений просто не учитывают особенности деятельности отдельных организаций, например банков. так как все написано подробно (справа налево, перпендикулярно и параллельно), то не учитываются много аспектов, например передача информационных систем на аутсорсинг, и размещение их в дата-центрах, то что сейчас называют "Облака". В этом случае не регламентировано, как работать с персональными данными - оператор использует программные средства на правах аренды. Программные средства принадлежат другой организации, которая не факт, что резидент и совсем не факт, что сервера находятся в России. Кто будут писать бумаги? Другой вопрос - система обработки персональных данных, по нашему определению, несколько шире автоматизированной системы, с которой работают пользователи. Пока ситуация такая, но работы в этом направлении ведутся. Запускаются "облачные" CRM, есть попытки перевести банковские системы в "облако" и т.д.. Рано или поздно решение будет найдено. Опять же, это все касается обработки персональных данных в понимании 152-ФЗ и фото или другие материалы, которые вы размещаете на удаленных серверах к этому никакого отношения не имеет. Не попадает под эти ограничения и размещение систем организациями в собственных дата-центрах, так называемые "приватные облака" - порядок обработки данных должен быть обеспечен в полном соответствии с законом и подзаконными актами.
Если вернуться к теме, то доверять облачным хранилищам или не доверять - личное дело каждого. тут важен авторитет держателя ресурса, условия размещения и собственные меры защиты. Надо понимать, что если хранилище станет недоступным, то это может быть навсегда и вы потеряете все что нажито непосильным трудом. ТО что вы размещаете может стать доступно неограниченному количеству лиц по независящим причинам, например из за технического сбоя в системе хранения (таких случаев сколько угодно - можно найти в Инете). Опять же, деятельность таких провайдеров регулируется национальным законодательством и оно может предусматривать (и предусматривает) доступ к материалам спецслужб. Ваши пароли не панацея от вскрытия - сама система шифрования находится под контролем и регулируется спецслужбами. Примеры-лицензирование средств шифрования во всех странах в компетенции спецслужб, передача данных - информация о сотрудничестве Фейсбука, гугла, майкрософта с ФБР.
Конечно это не повод не использовать облако, но знать надо. Но опять же это не имеет ни какого отношения к закону о защите персональных данных, и используется вами на собственных страх и риск с рамках тех соглашений, с которыми вы соглашаетесь нажимая кнопку "СОГЛАСЕН".
Извините за много букв. Вопрос задан - по возможности ответил. Дальнейшее обсуждение уже затронет технические детали, которые не очень интересны. Материалов в инете лежит много.