Как стать автором
Обновить

Эпопея в области персональных данных продолжается

Чулан
Федеральная служба по техническому и экспортному контролю неожиданно снова активизировалась и провела большую работу по федеральному закону №152-ФЗ «О защите персональных данных». 5 марта были отменены два документа, которые раньше вставали любому IT-шнику как кость в горле. Это «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (Пруфлинк)
Что же это дает?
Во-первых, теперь операторам ПД не обязательно иметь лицензию на проведение технической защиты персональных данных.
Во-вторых, теперь софт сертифицироваться будет только на категорию К1, которую еще нужно заслужить.
Что не может не радовать.

UPD. На сайте ФСТЭК документы сейчас эти посмотреть Вы не сможете, ибо
image

UPD. Пока писал топик — сайт восстановили
Всего голосов 10: ↑9 и ↓1 +8
Просмотры 763
Комментарии 10

Хостинг по требованиям 152-ФЗ

Информационная безопасность *
imageКомпания Parking.ru запустила новую услугу под говорящим названием «Хостинг ИСПДн». Эта услуга позволит заказчикам (операторам персональных данных) вынести на аутсорсинг информационные системы, содержащие и обрабатывающие эти самые персональные данные (ИСПДн), как то: социальные сервисы, интернет-магазины, системы биллинга, кадровые системы, бухгалтерию и другие привычные нам сервисы.

Подробнее об аутсорсинге152-ФЗ
Всего голосов 23: ↑18 и ↓5 +13
Просмотры 15K
Комментарии 21

Персональные данные (Краткий FAQ)

Информационная безопасность *

Что такое персональные данные?


Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе:  
— его фамилия, имя, отчество, 
— год, месяц, дата и место рождения, 
— адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, 
другая информация (см. ФЗ-152, ст.3).
Например: паспортные данные, финансовые ведомости, медицинские карты, год рождения (для женщин), биометрия, другая идентификационная информация личного характера.
В общедоступные источники персональных данных (адресные книги, списки и другое информационное обеспечение) с письменного согласияфизического лица могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер и иные персональные данные (см. ФЗ-152, ст.8).
Персональные данные относятся к информации ограниченного доступа и должны быть защищены в соответствии с законодательством РФ. При формировании требований по безопасности систем персональные данные разделяют на 4 категории.
Читать дальше →
Всего голосов 82: ↑75 и ↓7 +68
Просмотры 224K
Комментарии 112

Как рядовой пользователь воевал за соблюдение закона «О персональных данных»

Спам и антиспам
Сегодня, в блоге компании Pravo.ru появился любопытный топик о том, как надо вести себя компаниям, собравшимся открывать Интернет-ресурсы, которым придётся работать с персональными данными клиентов. Поэтому, по просьбам трудящихся, выложу свою историю со стороны рядового пользователя, который решил проверить свои права в деле.

Вообще не секрет, что многие технологические новинки до России доходят с изрядной задержкой. Это касается почти всего — от мобильных гаджетов и компьютерных игр до автомобилей. Причины таких задержек самые разные, но выражаются они не только в нехватке этих самых новинок, но и медленной реакции законодательства на изменения технического прогресса. Касательно темы поста, это выражается в законах, регламентирующих порядок обработки персональных данных пользователя. Заграницей, в государствах Западной Европы, Северной Америки и ряда других развитых стран мира законы в разной степени регулируют обработку данных с середины 80-х, начала 90-х годов, но в России подвижки по этому вопросу начались только на рубеже XX-XXI века, что вылилось в принятие федерального закона «О персональных данных». В чём его значение для рядового гражданина? Значение в том, что он способен защитить права и свободы человека при обработке его личных данных.
Читать дальше →
Всего голосов 102: ↑88 и ↓14 +74
Просмотры 17K
Комментарии 50

Требуйте защиты своих персональных данных, не отходя от кассы

Блог компании Код Безопасности
На днях нам попалась заметка хабражителя Mairon, найденная по теме «Защита моих персональных данных – мое личное дело».

Вызвала эта заметка массу мыслей и соображений, даже взволновала не на шутку. Спешим поделиться с Хабром своими мыслями на указанную тему.

Постоянно приходится слышать на всех мероприятиях, которые по долгу службы мы регулярно посещаем, бесконечное причитание представителей солидных, небедных компаний о том, что «как-так можно выполнить требования ФЗ-152 нам не понятно?», «как-так столько денег надо на это потратить?», «как-так государство не выделило нам средств на это?»… Все это происходит на фоне нашей повседневной, личной некорпоративной жизни, где мы постоянно сталкиваемся:
  • с обязательной галочкой про передачу ПД третьим лицам во всех договорах, которые нам подсовывают банки, страховые, поставщики разных товаров в Интернет-магазинах и так далее, с которыми мы подписываем договоры
  • с наглыми «звездочками» напротив обязательных к заполнению строчек, во всех он-лайн регистрационных формах на разных сайтах,
  • с постоянно заполненным спамом личным электронным ящиком и множеством рекламных смсок…
  • перечисление можно продолжать…
Читать дальше →
Всего голосов 10: ↑6 и ↓4 +2
Просмотры 13K
Комментарии 12

Дмитрий Медведев утвердил перечень поручений в сфере Интернета

Законодательство в IT
Сегодня, Дмитрий Медведев утвердил перечень поручений, согласно которым будет регулироваться сетевая активность в России. Поручения касаются многих аспектов гражданско-правовой деятельности.
Читать дальше →
Всего голосов 72: ↑62 и ↓10 +52
Просмотры 415
Комментарии 88

Практика защиты персональных данных

Информационная безопасность *
Из песочницы
Привет, Хабр!
1 июля приближается, а с ним приближается и необходимость выполнения ФЗ-152 «О персональных данных». В связи с этим хочу поделиться опытом работы по данному направлению. В блоге Информационная безопасность уже идет цикл постов о написании документов, однако, помимо бумаги, может возникнуть необходимость применения и некоторых технических средств защиты информации. Которым и посвящен данный топик.
Читать дальше →
Всего голосов 39: ↑34 и ↓5 +29
Просмотры 40K
Комментарии 61

Роскомнадзор потребовал от Livejournal и YouTube удалить персональные данные россиян

Социальные сети и сообщества
Роскомнадзор потребовал от администрации нескольких иностранных сайтов удалить личные данные россиян. В список, опубликованный на официальном сайте ведомства, попали такие известные ресурсы, как Livejournal и YouTube. В случае отказа от удаления, от регистраторов доменов потребуют прекращения их делегирования.

Кроме того, ведомство обратилось в российский МИД с просьбой об оказании содействия в прекращении незаконной публикации персональных данных россиян.
Читать дальше →
Всего голосов 89: ↑85 и ↓4 +81
Просмотры 7.1K
Комментарии 174

Персональные данные: dura lex, sed lex

Блог компании SAFEDATA
В последнее время защита персональных данных стала одним из наиболее актуальных для организаций вопросов. Её считают даже одним из драйверов развития рынка коммерческих ЦОД. Однако готовых предложений услуг хостинга информационных систем, обрабатывающих персональные данные по требованиям закона, на рынке услуг ЦОД пока немного.

По прогнозу iKS-Consulting, к 2018 году российский рынок ЦОД вырастет почти вдвое по сравнению с началом 2015 года и превысит 26,3 млрд. рублей, а количество установленных стоек в коммерческих дата-центрах увеличится до 48,3 тыс. Вступление в силу ФЗ № 152 «О персональных данных», требующего хранения персональных данных на территории РФ, в ближайшей перспективе станет одним из ключевых факторов его роста. Кроме того, ужесточение законодательства в финансовой и банковской сферах, а также растущая конкуренция в телекоммуникационной отрасли и розничной торговле и повышенные требования к надёжности будут подталкивать все большее число компаний к использованию услуг коммерческих ЦОД.
Читать дальше →
Всего голосов 24: ↑21 и ↓3 +18
Просмотры 21K
Комментарии 14

Как мы перевозили дата-центр западной компании в РФ из-за закона о персданных

Блог компании КРОК
У зарубежных компаний история с ИТ-инфраструктурой очень простая: они как росли себе на Западе, так там всё и осталось. В России, как правило, нет даже инженеров, а все сервисы предоставляются откуда-нибудь из Ирландии, Франкфурта, Бостона или других городов, где находится головная организация и её дата-центры.

Драматически ситуация поменялась после вступления в силу поправок к ФЗ-152, гласящих, что персональные данные российских граждан нужно записывать, систематизировать, хранить и обрабатывать с использованием баз данных, находящихся исключительно в нашей стране. Некоторые компании приняли решение поднимать дата-центры в Москве, чтобы не терять бизнес. В нашем случае получилось примерно так (изменены некоторые компоненты и названия, так как есть соглашение о неразглашении — иностранцы, что вы хотите):



Сложностей море, например, такие:
  • Полное отсутствие ИТ-персонала в российском офисе, занимающегося миграцией систем и управлением всего проекта в целом — нужно общаться с сетевиками из Европы или США и разработчиками, например, из Шанхая.
  • Мало поднять прокси-структуру — нужно реально по факту обрабатывать данные в России. А, значит, в Москве (или в другом городе, но, как правило, действие происходит в столице) должен быть развёрнут инстанс CMS, почты, прикладного ПО для работы с продажами, бухгалтерия и так далее.
  • Нужно перевезти всё это быстро и без существенных простоев, а потом ещё и поддерживать в плане инфраструктуры (приклад в данном случае поддерживают «родные» ИТ-команды).
Читать дальше →
Всего голосов 32: ↑24 и ↓8 +16
Просмотры 24K
Комментарии 39

Комплексная инфобезопасность: блиц-обзор линейки Fortinet

Блог компании КРОК Информационная безопасность *
Привет! Ниже будет ликбез по одной конкретной линейке оборудования, позволяющий понять, что это, зачем нужно (и нужно ли) и какие задачи при этом решаются (общая защита ИКТ-инфраструктуры, реализация блокировок, соответствие ФЗ о ПД).

Итак, на сегодняшний день компоненты защиты обычно выглядят как настоящий «зоопарк»:



Это потоковый антивирус, файрвол, антиспам и антидидос, а также системы обнаружения вторжений и т. п., стоящие на входе в ваш дата-центр. Фортинет (как и ряд других производителей) объединяет эти устройства в одну железку, плюс пересматривает концепцию защиты в принципе. Они уже 7 лет лидируют по Гартнеру в сегменте UTM (FW + IPS + VPN + Application Control + WebFiltering + Antispam + Antivirus и другие функции).

Их идея в том, что периметр находится не на границе с публичным Интернетом. Если раньше защитное железо ставили на выходе, то эти парни считают, что надо ставить устройства ближе к локальной сети — работать с WLAN и в дата-центре прямо между машинами. Естественно, это требует совершенно других потоковых мощностей, но, с другой стороны, даёт и пару огромных плюсов.
Читать дальше →
Всего голосов 21: ↑17 и ↓4 +13
Просмотры 17K
Комментарии 1

Закон «О персональных данных» и практика его применения в российской действительности

Блог компании RUVDS.com


Как известно, в России несколько лет действует Федеральный Закон №152 «О персональных данных».
За время его первой публикации в 2006 году Закон претерпел значительные изменения, а сами данные теперь обязаны храниться на территории Российской Федерации и быть защищены. На практике это приводит к повышению ответственности бизнеса в отношении обработки данных. О том насколько сложно соблюдать требования Закона «О персональных данных» и дает ли это реальный эффект пойдет речь в этой статье.

Любое юридическое лицо, организованное в российском правовом поле подпадает под данное регулирование. Наш проект RUVDS Закон затрагивает как в части обработки личных данных клиентов, так и защиты информации, с которой работают клиенты на нашем оборудовании.

Есть несколько объектов защиты.

Первый тип данных — сами данные о клиенте. К примеру, это его имя, дата и место рождения, паспортные данные, для юридических лиц – данные о компании. Клиент при начале работы с сервисом соглашается передать нам эту информацию на обработку, а мы обязуемся работать с ними в соответствии с Законом. Это более-менее понятный и просто объект защиты.

Второй тип данных – информация, которая непосредственно хранится клиентами на VDS/VPS сервере. Это как раз более значимый и важный объект защиты. Примерами таких данных может быть логин-пароль к социальной сети, почте, личная бухгалтерия у физических лиц. А у юридических лиц спектр подобной информации еще шире – это и клиентские базы данных, и бухгалтерия, и специализированное ПО.
Читать дальше →
Всего голосов 16: ↑6 и ↓10 -4
Просмотры 18K
Комментарии 23

Закон «О персональных данных» и практика его применения в российской действительности. Часть 2

Блог компании RUVDS.com


По мотивам предыдущей статьи и комментариев к ней мы пишем продолжение, которое, как мы считаем, раскроет максимально тему организации защиты персональных данных и лицензирования при предоставлении Вами различного рода услуг.

Сразу к конкретике.
Пусть Вы – владелец какого-либо бизнеса, масштаб не важен — от маленькой бухгалтерской конторы до крупной корпорации. Содержание своей инфраструктуры для Вас дорого или неприемлемо по какой-либо причине и Вы хотите передать функционал по хранению и обработке данных третьей стороне.
При решении данной задачи вы должны задаться рядом вопросов:

  • Имеете ли Вы право передавать обработку третьей стороне, и какие условия при этом накладываются на Вас и на Ваших партнеров по обработке данных? Кто несет ответственность за персональные данные при передаче обработке партнеру-третьей стороне?
  • Нужны ли Вам какие-либо лицензии? Какие отчеты по ним Вам будет необходимо сдавать? Кто такой оператор персональных данных?
  • Будете ли Вы работать с конфиденциальной информацией, какие условия Вы и Ваш партнер при этом должны выполнять? Какие лицензии нужны?
Читать дальше →
Всего голосов 10: ↑8 и ↓2 +6
Просмотры 24K
Комментарии 10

Локализация персональных данных

Блог компании Зарцын и партнеры Законодательство в IT
Туториал
Ох, сколько уже было сказано о персональных данных! Интернет предпринимателей особенно взбудоражила история с локализацией. И до сих пор не совсем понятно, как и к кому этот 242 ФЗ применяется. Поэтому мы с коллегами из Б152 решили на примерах все разобрать и предложить варианты хранения данных, подходящие совершенно разным компаниям.
Напомним, что он вступил в силу 1 сентября 2015 года, хотя принят был еще летом 2014-го. О нем много разговоров, но судебной практики пока нет. Поэтому мы обратимся к опыту иностранных коллег.

Читать дальше →
Всего голосов 5: ↑5 и ↓0 +5
Просмотры 16K
Комментарии 5

Как соответствовать ФЗ-152 «О персональных данных» c «Битрикс24» и «1С-Битрикс»

Блог компании Битрикс24 Управление проектами *Управление e-commerce *Законодательство в IT
С 1 июля 2017 года будет сильно ужесточена административная ответственность за нарушения при работе с персональными данными физических лиц. Это касается и владельцев сайтов, которые собирают такую информацию о посетителях. Как быть тем пользователям Битрикс24, кто собирал персональные данные автоматизированно, с помощью CRM-форм или Открытых линий? Мы решили помочь своим клиентам соблюсти закон и избежать штрафов. Автоматизируем и это!


Всего голосов 19: ↑14 и ↓5 +9
Просмотры 17K
Комментарии 8

О защите персональных данных на российском и европейских рынках

Блог компании CloudMTS Управление проектами *Управление e-commerce *Развитие стартапа Законодательство в IT
С 1 июля вступили в силу последние поправки в российское законодательство о персональных данных. Они диктуют новые правила по обработке и хранению личной информации пользователей. Последние изменения встают в один ряд с чередой дополнительных требований к операторам данных. Эта статья рассказывает о новых реалиях и оптимальных решениях в области работы с личной информацией в России и Европе.

Читать дальше →
Всего голосов 11: ↑9 и ↓2 +7
Просмотры 13K
Комментарии 4

Что нужно знать владельцам сайтов, чтобы не потерять свой бизнес?

Блог компании WebCanape Терминология IT Управление e-commerce *Развитие стартапа Законодательство в IT


Деятельность бизнеса в интернете все более плотно регулируется со стороны государства. Например, с 1 июля 2017 года увеличились штрафы за незаконную обработку персональных данных на сайте и введен новый порядок применения ККТ.

Мы составили чек-лист по каждому из «болезненных» вопросов бизнеса в интернете: что нужно помнить при регистрации хостинга, домена, покупке прав на сайт? Как соблюдать права интеллектуальной собственности в сети Интернет? Что делать, если с вашего сайта скопировали контент или дизайн? Как избежать штрафов до 300 000 рублей за нарушение ФЗ-152 и 54-ФЗ?
Читать дальше →
Всего голосов 24: ↑19 и ↓5 +14
Просмотры 24K
Комментарии 14

Биометрические персональные данные россиян

Блог компании Cloud4Y Информационная безопасность *Хранение данных *Законодательство в IT


В свете скорого вступления в действие закона о биометрической идентификации клиентов банков хотелось бы вернуться немного назад и вспомнить, а чем собственно являются биометрические персональные данные. Что по этому поводу нам говорит Роскомнадзор и как нам быть, если придется с ними работать.


Согласно Федеральному закону от 27.07.2006 N 152-ФЗ «О персональных данных», ст. 11:
«Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.»
Для детей у Роскомнадзора есть упрощенное объяснение:
Биометрические персональные данные представляют собой сведения о наших биологических особенностях. Эти данные уникальны, принадлежат только одному человеку и никогда не повторяются.

Биометрические данные заложены в нас от рождения самой природой, они никем не присваиваются, это просто закодированная информация о человеке, которую люди научились считывать. К таким данным относятся:

отпечаток пальца, рисунок радужной оболочки глаза, код ДНК, слепок голоса и пр.

О стандартах

Читать дальше →
Всего голосов 20: ↑18 и ↓2 +16
Просмотры 25K
Комментарии 19

Планируются изменения в ФЗ-152

Блог компании Cloud4Y Информационная безопасность *SaaS / S+S *Законодательство в IT Облачные сервисы *

На сайте regulation.gov.ru появились и уже прошли 25 июня 2018 г. окончания публичного обсуждения два интересных проекта:

  • Проект Федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации (в части уточнения принципов обработки персональных данных в государственных информационных системах)»
  • Проект Федерального закона «О внесении изменений в статью 13.11 Кодекса Российской Федерации об административных правонарушениях»

Интересного в этих проектах то, что они собираются внести изменения в ФЗ-152 «О персональных данных» и в «КоАП», что уже наводит на мысли.

Итак, не будем ничего выдумывать, а просто процитируем:
«1. Часть 5 статьи 6 дополнить следующими абзацами:
«Оператор, поручивший обработку персональных данных другому лицу, несет ответственность за осуществление надлежащего контроля за действиями другого лица в соответствии с законодательством Российской Федерации.
Порядок осуществления оператором контроля за действиями лица, осуществляющего обработку персональных данных по его поручению, устанавливается оператором самостоятельно.»
Читать дальше →
Всего голосов 18: ↑17 и ↓1 +16
Просмотры 17K
Комментарии 47

И снова про обезличивание

Блог компании Cloud4Y Информационная безопасность *Облачные вычисления *Хранение данных *Читальный зал


На Федеральном портале проектов нормативных правовых актов появился проект Федерального Закона «О внесении изменений в Федеральный закон «О персональных данных» в части уточнения требований при обезличивании персональных данных».

Полный текст проекта доступен по ссылке.

Суть предложения Минкомсвязи проста: обезличивать персональные данные можно будет только в случаях, прямо установленных законодательством Российской Федерации и в соответствии с требованиями и методами, установленными Роскомнадзором.
Читать дальше →
Всего голосов 6: ↑6 и ↓0 +6
Просмотры 7K
Комментарии 3
1