среда, 23 октября 2013 г.

Франция: Регулятор сформулировал свою позицию в отношении услуг «электронного сейфа» - как теперь относиться к стандарту NF Z 42-020?


Данная заметка Кристиана Дюбура (Christian Dubourg – на фото), директора по маркетингу компании Ever-Team Software и члена комитета CN171 французского органа по стандартизации AFNOR, была опубликована 14 октября 2013 года в открытой франкоязычной группе по стандарту NF Z 42-013 в социальной сети LinkedIn.

Национальная комиссия по информатике и свободам граждан CNIL (Commission nationale de l'informatique et des libertés, http://www.cnil.fr/  - во Франции является уполномоченным органом по вопросам защиты персональных данных – Н.Х.) опубликовала в «Официальном журнале Французской республики» (Journal Officiel de la République Française) решение №2013-270 от 19 сентября 2013 года, содержащее рекомендации, касающиеся оказания частным лицам услуг «электронного сейфа» (т.е. услуг защищённого хранения электронных документов третьей стороной – Н.Х.), см. http://legifrance.gouv.fr/jopdf/common/jo_pdf.jsp?numJO=0&dateJO=20131009&numTexte=00039&pageDebut=00039&pageFin=

В этом документе CNIL высказало своё мнение о том, «термин «цифровой/электронный сейф» должен быть зарезервирован для специфической формы электронного места хранения, доступ к которому предоставляется только одному пользователю, а также специально уполномоченным им лицам». Также в нём отмечается, что «поставщик услуг не должен иметь технической возможности получения доступа ни к содержимому сейфа, ни к его резервным копиям без явно выраженного согласия соответствующего пользователя».

По мнению CNIL, те услуги, которые не отвечают этим критериям и не обеспечивают перечисленные меры защиты, «представляет собой простую услугу хранения электронных данных».

В документе CNIL подробно перечисляет меры безопасности, которые должны быть реализованы при оказании услуг электронного сейфового хранения: шифрование на закрытом ключе, хранение ключей третьей стороной для обеспечения долговременной сохранности информации…

Такая позиция CNIL означает, что стандарт NF Z 42-020:2012 «Функциональные характеристики компоненты "Электронный сейф", предназначенной для сохранения электронной информации в условиях, обеспечивающих её целостность во времени» (Spécifications fonctionnelles d’un composant Coffre-Fort Numérique destiné à la conservation d'informations numériques dans des conditions de nature à en garantir leur intégrité dans le temps) нелегитимно называть стандартом «компоненты «Электронный сейф»» - в нём ведь не рассматриваются ключевые вопросы, связанные с обеспечением безопасности. Данный стандарт не гарантируют выполнение основополагающих требований, установленных CNIL в опубликованном им решении.

Как мы уже неоднократно отмечали, стандарт NF Z 42-020 (о нём см. также http://rusrim.blogspot.ru/2012/03/nf-z-42-020.html и http://rusrim.blogspot.ru/2012/07/nf-z-42-013-nf-z-42-020-nf-z-42-025.html - Н.Х.) является избыточным. В отсутствие актуализации он не представляет никакого интереса и не должен рассматриваться как отражение текущего положения дел в сфере электронного «сейфового» хранения.

Надеюсь, что в свете разъяснений CNIL юридические и физические лиц поймут, что стандарт NF Z 42-020 и взаимосвязанная с ним система добровольной сертификации имеют лишь маркетинговую ценность ...

Christian Dubourg (Кристиан Дюбур)

Источник: LinkedIn
http://www.linkedin.com/groups/CNIL-r%C3%A9agit-rapport-services-Coffrefort-1821365.S.5795433848573546498

Комментариев нет:

Отправить комментарий