Москвач (nobribe) wrote,
Москвач
nobribe

Электронная очередь в детский сад и Закон о защите персональных данных

Последние годы защита персональных данных очень сильно будоражит великие умы тех, что у власти. В поздних 2000х был принят ряд норм как следует обращаться с персональной информацией, как её защищать и бережно хранить. Ударили эти нормы по крупному и среднему бизнесу достаточно крепко и резко. Компаниям пришлось раскошелиться на апгрейд и техническое переоснащение, чтобы соответствовать новой нормативно-правовой базе. А вот как с персональными данными обращается наше государство было всегда поводом для шуток.
Впечатлённый словами Собянина о том, что проблема с детсадами в Москве рассосалась, я решил поставить своего маленького сынишку на очередь в ближайший садик через информационный портал Департамента образования Москвы - Автоматизированную информационную систему «Комплектование ДОУ». Вошёл в систему, заполнил форму, отправил, и только потом обратил внимание, что данные были переданы через интернет в незашифрованном виде.
Никакого SSL. AES-DES-ГОСТ? И это России, где в ИТ технологии, особенно государственные, вваливаются миллионы? За этой деятельностью следят контролирующие органы, один грозный роскомнадзор чего стоит! А тут госорган, и щи лаптем хлебает!


Напомним Департаменту образования города Москвы, что в соответствии со ст. 19 "оператор при обработке персональных данных обязан принимать необходимые ...технические меры ...для защиты персональных данных..."
Нашлись даже конкретные люди, которым задача привести систему в соответствие с буквой закона поручена, а сроки приведения в соответствие уже давно истекли!
Вот само постановление и конкретные парни - всё ректоры, да директоры. А где результаты?

6. В срок до 1 марта 2011 года ректору ГОУ ВПО Московский институт открытого образования Семёнову А.Л. осуществить методическое сопровождение и представить рекомендации по приведению в соответствие АИС «Комплектование ДОУ» Федеральному закону от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

7. В срок до 1 мая 2011 года директору ГОУ «Учебно-методический центр по информационно-аналитической работе» Яблонскому В.Б. привести в соответствие Федеральному закону от 27 июля 2006 г. № 152-ФЗ «О персональных данных» АИС «Комплектование ДОУ».

Бездействие оператора., в соответствии со ст. 17, Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" будет мной обжаловано в небезызвестный Роскомнадзор, о котором в последнее время слышно много, и в котором для таких жалобщиков, как я, оказывается, существует целое управление!

PS. Насколько инцидент опасен для тех, кто воспользовался этой системой? Я не паранойик, поэтому уверен, что ничего страшного не произошло. Будьте спокойны, в государственных системах есть более удобные для злоумышленников "дыры" с более ценными данными. Этот случай показателен тем, что демонстрирует обычное для нашего государства явление - свои же законы оно соблюдать не утруждается, требуя от других игроков безукоризненного соблюдения правил.
Для тех, кто разбирается. Снимок экрана с запущенным сниффером (программой, перехватывающей сетевые пакеты), в которой специалист отчётливо определит отсутствие какого бы то ни было шифрования. В восстановленном TCP-потоке видны, собственно, персональные данные заявителя. Выделенный фрагмент заголовка HTTP - собственно, фамилия и имя гражданина.

Скриншот браузера. Форма, в которую предлагается ввести персональные данные. Браузер подтверждает полное отсутствие стандартного для таких случаев SSL-уровня.

По данным фактам составлена и отправлена жалоба в Роскомнадзор.

Tags: бардак, беспредел, госуслуги, дети, детский сад, детство, дом, защита данных, зеленоград, мама, материнство, москва, нерезиновая, образование, персональные данные, понаехали, прикрепление, регистрация, роскомнадзор, семья
Subscribe

  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 0 comments