Жырно доставило:

[arkenoi]

Новость, которую ожидали все российские заказчики SAP: В свете 152-го закона "о персональных данных" независимый разработчик различного софта под Oracle, наш давний конкурент партнер, компания SAP, сертифицировала Oracle Database Vault 10.2.0.4.

Уже появилась подробная техническая white paper, которая называется Best Practices for Installing, Configuring and Deploying Oracle Database Vault Release 10.2.0.4 in an SAP Environment. Если Вы заказчик SAP, то можете также ознакомиться с Oracle Database Vault protection policy for SAP на сайте SAP.

Да, собственно чего это я про 152 закон? Кратко, суть в следующем: Если Ваша организация до 1 января 2010 года не начнет удовлетворять пунктам этого закона, то ее закроют. Сначала предупреждение, потом штраф, потом закроют. Предвижу массу возражений типа "закон постоянно сдвигался, всех не закроют и т.п." Отвечу вопросом на вопрос: "Казино закрыли?".

Если у Вас есть SAP, который является центральной системой в Вашей организации, то Ваш CIO или CSO просто обязан поговорить с Дмитрием Сивохиным (dmitry.sivohin@оракле.ком, +7 915 377 7775). Дмитрий отвечает в Oracle за Security и подробно расскажет вашему CIO/CSO про тот минимум действий, который надо срочно проделать, чтобы участь казино Вас не постигла.

http://dsvolk.blogspot.com/2009/07/certification-of-sap-with-oracle.html

Кто сертифицировал? Как что сертифицировал - как жужжалку для жопы? Причем тут 152-ФЗ? А он регламентирует технические средства? А у нас есть нормативная база? Что за торговля страхом "покупайте, а то вас закроют"? Говорят, они еще и обзавнивают клиентов в лучших традициях лохотрона.

UPDATE: текст изменен в направлении менее зазывных, но более корректных формулировок. Что до факта обзвона, то он, если я правильно понял dsvolk, является чьей-то личной инициативой и вряд ли согласован с руководством. Если кому-то еще звонили, сообщайте ему о таких фактах, они весьма не приветствуются.

Comments

[lionet.livejournal.com]

Да и главный вопрос: А что, казино закрыли?

[arkanoid.livejournal.com]

"В тех же помещениях теперь действуют федерация спортивного покера, спортивного блэкджека и спортивных шлюх" (c)

[9x19.livejournal.com]

покер же тоже прикрыли, кажись. Исключили из спортивного реестра, нет?

[e1am0.livejournal.com]

спортивные шлюхи? оооо, надо попробовать...

[dil.livejournal.com]

только что по радио сказали что-то на тему об исключении покера из списка видов спорта, но я краем уха слушал, мог ошибиться

[feklist.livejournal.com]

Да там теперь вообще честные лотереи, при входе покупаешь лотерею, дергаешь сколько-то раз однорукого бандита, а на выходе получаешь "приз", коли заработал. Красиво все-таки..

[luarvique.livejournal.com]

Дмитрий очень удачно прислал свой адрес электронной почты... Думаю, сейчас Ломанутся.

[alexott.livejournal.com]

хех. dsvolk совсем продался во впариватели. а такой хороший спец по ораклу был...

[arkanoid.livejournal.com]

Ну хоть бы формулировал покорректнее.. А то ж чорт знает что, гербалайф да и только!

[moxel.livejournal.com]

http://www.rg.ru/2006/07/29/personaljnye-dannye-dok.html
закон-то от 2006 года. Только сейчас SAP-овцы вспомнили, что-ли?

[artimind.livejournal.com]

А SAP тут вообще не при чем, ИМХО. Это Oracle сам резвится...

[lobanov.livejournal.com]

Сейчас пошла очень большая волна окучивания организаций под названием "ататат за персональные данные". В принципе теми же методами, что и повальная легализация продукции MS не так давно. Вроде бы законодательная база давно есть, а сейчас решили, что будут за это гонять. Та же неясность что лицинзировать/сертифицировать, та же игра на глупости и страхе с подсовыванием фирм-спасителей. У нас даже конференции масштаба области проводят со стращаниями.

Думаю что через пару лет еще выдумают. Скажем, сертификацию мониторов на допустимую цветопередачу.

[thesonofliberty.livejournal.com]

напиши что-нибудь про предполагаемый бан Skype?

[arkanoid.livejournal.com]

А что тут писать? Понятно, что они хотят много кушать. Понятно, что нас это желание не ебет. Понятно, что фильтровать VoIP даже в своих сетях им никто не позволит (хотя можно и без фильтрации сделать так, чтобы пользоваться им было практически невозможно). Понятно, что хомячки вопят про "запрет скайпа", потому что знают слово "скайп". На самом деле весь сыр-бор не вокруг скайпа, а вокруг сервиса приземления. Вот его и можно зарегулировать по самое здрасте и установить тарифы ататат. Но вот уже лет через пять такие меры загонят гвоздь в гроб не VoIP, а самим операторам ;-)

[p-a-s-h-a.livejournal.com]

По-моему, из поста dsvolk вполне логично следует
1. Кто сертифицировал:
1.1. Кто так сказать "выдал сертификат": по-моему, речь идет о том, что это сама компания SAP, _не_ какой-то госорган РФ
1.2. Кто, так сказать "получил сертификат": по-моему, речь идет о том, что это компания Oracle
2. Как что сертифицировал:
по-моему, речь идет о том, что SAP гарантирует, что программы SAP, использующие СУБД ORACLE будут нормально работать, если на сервер ORACLE, используемый прораммами SAP поставить Database Vault. Таким образом, "сертификат", это всего лишь внутренний документ SAP, предназначенный для заказчиков SAP и какой-то нормативной юридической российской базы для такого сертификата не требуется.
А вот
3. Причем тут 152-ФЗ:
тут "торговля страхом", думаю, действительно имеет место быть.
А кроме всего, российского бюрократического документа, подтверждающего, что Database Vault способствует исполнению закона, я уверен, нет.

[ico.livejournal.com]

И при этом Oracle Database Vault как средство заshitы информации сертифицирована для Oracle 11gR1 Ent.Edition, платформа M$ Windows 64-bit, сертификат ФСТЭК России N1849 от 25.05.2008г.

[o-iv.livejournal.com]

Собственно, почему бы и нет?
В ФЗ требуется, чтобы что-то было кем-то сертифицировано. Но конкретного указания, что именно должно быть сертифицировано, и, особенно, кем именно должна производиться сертификация, там нету.

Гораздо интереснее было бы попытаться сертифицировать тетрадочки, в которые мои персональные данные заносят охранники в каждой второй посещаемой конторе... Или придти в такую контору и официальным запросом потребовать уничтожить все записи, содержащие мои персональные данные :-)

С другой стороны, есть сертификат Оракла, значит, если придут проверять - можно послать в Оракл, и уже пусть у них болит голова, нужно ли им сертифицироваться на право выдавать сертификаты...

[arkanoid.livejournal.com]

Согласно российской нормативной базе, это все не сертификация, а филькина грамота - сертификация бывает только государственная (ФСТЭК и ФСБ). И сертификации "по 152-ФЗ" нет и быть не может, т.к. в данном случае нормативная база отсутствует. Значит, используется "традиционная" сертификация СЗИ, которая к тетрадкам не относится.

А вот в Оракл слать бесполезно, если появится таки четкое описание требований к техническим средствам защиты. Нетрудно догадаться, почему.

[d-zh.livejournal.com]

Технические средства защиты данных --- это удовлетворение лишь малой части закона. То есть даже суперсертифицированная защита не делает автоматически законопослушным. Это одна из очень многих мер. То, что набрано в посте курсивом создает ложную иллюзию, что Оракле/САП предлагают солюшн. А это не солюшн, это мааааленькая заплатка на не самую большую дырку.

А это, кстати, факт!

[o-iv.livejournal.com]

Начать с того, что по закону в случае чего "оператор" обязан предоставить подтверждение согласия каждого или любого из "субьектов" на обработку персональных данных! (хотя, само по себе согласие должно однозначно идентифицировать "субьекта", следовательно является объектом ФЗ, следовательно, на его получение требуется получить согласие у "убьекта", которое... )
А для получения такого согласия - обязаны огласить полный список целей, для которых эти персональные данные могут быть использованы.
А при желании, любой из "субьектов" имеет право отозвать свое согласие, и в этом случае все упоминания персональных данных "субьекта" должны быть уничтожены. В том числе и из всех резервных копий...
В общем, закон забавный, и можно было бы сказать, что нужный, если бы он не был настолько странным, противоречивым местами и сырым...

[nw-wind.livejournal.com]

Пролистал закон... Я могу в текстовых файлах всё хранить по нему...

Хранить можно - как угодно.

[o-iv.livejournal.com]

Хоть в текстовых файлах, хоть в тетрадочках. Но должен выполняться набор мер по обеспечению недоступности персональных данных для "незаконных методов обработки" (Забавная формулировка, сначала подумал, что они решили индексирование или архивирование незаконным объявить... Раз пять перечитал закон, пока вкурил, что "методы обработки" это не только, собственно, методы обработки, но и вообще, все, что можно сделать с данными).

[(Anonymous)]

"Говорят, они еще и обзавнивают клиентов в лучших традициях лохотрона."

Орфография сохранена.

Подскажи пожалуйста:

- кто говорит
- кто обзванивает клиентов

Мне нужны конкретные детали. Кому, когда, кто позвонил и что сказал. Если ты их приведешь - обзванивать прекратят. И извиняться.

Если ты не знаешь деталей и так просто написал - извинись ты.

Dsvolk

[arkanoid.livejournal.com]

ico мне сказал, что им звонили и таки натурально, пугали ;-)
И не только им. Кто именно звонил - не знаю пока.
Я постараюсь узнать подробнее. Прошу прощения за несколько резкие формулировки, но такими методами ведения бизнеса я был шокирован.

[timurbor.livejournal.com]

Мы написали в SAP заяву на предоставление сертификата. Есть ответ, что в 3 квартале ставят какой-то стенд для тестирования, а сертификат нам дадут в 4 квартал - чтобы им отмахиваться от назойливых проверяющих. Что прикольно - такой же запрос сделали в 1С - пока молчат)))