Как стать автором
Обновить

Вебинар DataLine «Как выполнить требования 152-ФЗ в облаке?» 11 февраля

Время прочтения 1 мин
Просмотры 1.1K
Блог компании DataLine Информационная безопасность *

Закон «О персональных данных» касается практически всех компаний. Если вы собираете и храните ФИО, имейлы и телефоны клиентов для оформления заказов или программы лояльности, стоит проверить, не нарушаете ли вы закон.

На вебинаре 11 февраля с 12:00 до 13:00 поговорим, как адекватно определить требуемый уровень защищенности, где заканчивается ответственность облачного провайдера, что такое аттестация, и всем ли она нужна.

Читать далее
Всего голосов 9: ↑9 и ↓0 +9
Комментарии 0

Вебинар «Как организовать безопасную удаленную работу с помощью VDI» 3 февраля

Время прочтения 1 мин
Просмотры 633
Блог компании DataLine Информационная безопасность *IT-инфраструктура *Облачные сервисы *Удалённая работа

Организация удаленной работы может принести ИБ-специалистам чуть больше головной боли, особенно если дело касается соблюдения 152-ФЗ. На вебинаре 3 февраля расскажем, как технологии VDI помогают организовать безопасную удаленную работу, в том числе выполнить требования закона о персональных данных.

О чем поговорим:

- рассмотрим основные риски и трудности при организации "удаленки", учтем особенности работы на личных ноутбуках и ПК и на корпоративных устройствах;

- покажем, как VDI помогает соблюдать корпоративные политики информационной безопасности и выполнять требования 152-ФЗ;

- расскажем про возможности сервиса VDI Citrix от DataLine.

Подробности и регистрация
Всего голосов 14: ↑12 и ↓2 +10
Комментарии 0

Вебинар «Как организовать частное облако с аттестатом ГИС К1, УЗ-1, 1Г под ключ» 17 февраля

Время прочтения 1 мин
Просмотры 591
Блог компании DataLine Информационная безопасность *IT-инфраструктура *Законодательство в IT Облачные сервисы *

Государственные информационные системы (ГИС) требуют высокого уровня защиты. Российские провайдеры сегодня предлагают аттестованные публичные облачные платформы под требования ГИС К1, УЗ-1, но компании продолжают строить частные облака.

На вебинаре 17 февраля мы поговорим о безопасности ГИС и аттестации частного облака в соответствии с новыми требованиями ФСТЭК России.

Подробности и регистрация
Всего голосов 12: ↑11 и ↓1 +10
Комментарии 0

Бесплатная защита от DDoS, 152-ФЗ для серверов и миграционные каникулы

Время прочтения 2 мин
Просмотры 854
Блог компании Selectel IT-инфраструктура *IT-компании

Привет, Хабр! Главные новости за прошедший месяц: мы получили Акт соответствия выделенных серверов 152-ФЗ, а еще запустили миграционные каникулы и бесплатную защиту от DDoS-атак. 

Читать далее
Всего голосов 17: ↑17 и ↓0 +17
Комментарии 3

Вебинар DataLine «Cloud Report #1: изменения в ИБ, новости облаков и сервисов» 4 октября

Время прочтения 1 мин
Просмотры 128
Блог компании DataLine Информационная безопасность *Хранение данных *Хранилища данных *Облачные сервисы *

Уже несколько месяцев ИТ-индустрия вынуждена ежедневно вносить коррективы в свою деятельность в связи с уходом зарубежных вендоров, трудностями в поставках нового оборудования и изменениями в законодательстве, в том числе в политике информационной безопасности. Какие изменения произошли в работе облаков и сервисов DataLine? Как мы работаем с информационной безопасностью наших клиентов? Как это влияет на облачную индустрию в целом?

Подробности и регистрация
Всего голосов 5: ↑5 и ↓0 +5
Комментарии 0

Защита персональных данных — опыт внедрения

Время прочтения 4 мин
Просмотры 11K
Информационная безопасность *
Из песочницы
Как помнят все интересующиеся ФЗ-152 «О персональных данных» был принят в далеком 2006 году. Введение Закона в действие долго откладывалось, но когда-то он должен был заработать. 1 июля 2011 это случилось.
Для нас (госконтора, база примерно на 20000 человек в то время) проблема поднялась в 2008 году.
На начальном этапе не слишком сильно, но потом как в сказке: «Чем дальше, тем страшнее».

Первый этап — начальные Оргмеры.

— В каждой бумажке типа Заявления появилась надпись маленькими буковками (чтобы оставить прежний размер бланка) — «Выражаю согласие на необходимое использование моих персональных данных, в том числе в информационных системах».
— В Заявлениях на детские пособия было внесено добавление про несовершеннолетних детей.
— Также были взяты отдельные Заявления с согласием предоставления и передачи данных из других учреждений (Пенсионный Фонд, НПФ т.п.).

Читать дальше →
Всего голосов 45: ↑40 и ↓5 +35
Комментарии 36

Мифы о защите персональных данных в облаке

Время прочтения 5 мин
Просмотры 40K
Блог компании КРОК Информационная безопасность *

В последнее время часто поднимаются вопросы о возможности обработки и защиты персональных данных в «облаках» в соответствии с ФЗ №152 «О персональных данных». Всё это зачастую напоминает обсуждение мифов, поэтому рискну изложить свой взгляд на проблему защиты ИСПДн в облаках и попробую ответить на основные вопросы.

Примерный список вопросов таков:
  • Можно ли, в принципе, размещать информационные системы персональных данных (ИСПДн) в «облаке» с учетом требований регулирующих органов по защите информации?
  • Какими свойствами должно обладать «облако», чтобы его можно было использовать для построения информационных систем персональных данных (ИСПДн)?
  • Что необходимо учесть оператору ПДн, решившему перенести свои информационные ресурсы в «облако»?
  • Возможно ли аттестовать ИСПДн, размещенную в публичном «облаке»?
  • Какие задачи по обеспечению ИБ возлагаются на облачного провайдера?
  • Какие существуют гарантии того, что конкурент, размещенный в том же «облаке» по соседству, надежно отделен и не сможет атаковать, находясь внутри «облака»?
  • От чего зависит ИСПДн какого класса можно построить в конкретном «облаке»?
Читать дальше →
Всего голосов 29: ↑15 и ↓14 +1
Комментарии 30

Как Сбербанк распространяет ваши личные данные

Время прочтения 1 мин
Просмотры 172K
Информационная безопасность *
Я дал знакомому номер моей карты, чтобы он мог перевести мне деньги.
Знакомый сделал перевод и получил квитанцию.
В его квитанции оказались указаны мои паспортные данные (см. скан квитанции под катом).

Я сообщил о проблеме на странице www.facebook.com/sberbank, получил рекомендацию написать на адрес zabota@sberbank.ru

17 сентября я отправил на этот адрес описание истории и вопрос:

«Сообщите пожалуйста, почему и как в квитанции оказались мои паспортные данные и, таким образом, произошла передача моих персональных данных третьему лицу?»

Прошло почти 2 недели, никакого ответа я так и не получил, поэтому начинаю размещение открытых сообщений.

Я считаю, что важно, чтобы максимальное количество клиентов Сбера узнало о том, как банк относится к их личным данным.

UPDATE — NB: А в Альфа-клике Альфа-Банка оказывается можно узнать ФИО и номер счёта клиента, зная лишь имейл или телефон (откройте печатную форму после перевода). Гуляй, Рассея!

UPDATE — Сбербанк:Сотрудник банка сообщил, что это и ошибка оператора и ошибка в софте:
beskov, как и обещал, возвращаюсь с результатами. Уже сейчас можно сказать, что Ваш отзыв оказался очень полезным для Сбербанка. В результате тщательного анализа этого случая нам удалось выявить не только ошибку операциониста, но и дефект ПО, устранение которого позволит предотвратить возможность возникновения таких случаев. Поэтому позвольте еще раз поблагодарить Вас за сигнал.


Читать дальше →
Всего голосов 281: ↑266 и ↓15 +251
Комментарии 271

Сертификация средств защиты и персональные данные

Время прочтения 4 мин
Просмотры 21K
Информационная безопасность *
Из песочницы
Сертификация средств защиты информации вызывала, вызывает и будет вызывать огромное количество вопросов у IT-люда. И к сожалению не только у него: сами «законотворцы» и «методикоделы» не всегда толком могут ответить на вопрос о сертификации. Тут можно выделить пожалуй два подвопроса:
1. Что «хотят» контролирующие органы (ФСТЭК, ФСБ, Роскомнадзор) — далее «КО»;
2. А что «хочет» закон и методики.
Частично написано в ответ на Защита информации и сертификация. Если нет разницы — зачем платить больше?, где, считаю, не совсем корректно представлено текущее положение дел… хотя взгляд на него излагаю из личного опыта общения с КО, сертифицирующими органами, клиентами и опытом внедрения систем защиты.
Читать дальше →
Всего голосов 3: ↑2 и ↓1 +1
Комментарии 16

Почему оценка соответсвия средств защиты информации и есть сертификация

Время прочтения 6 мин
Просмотры 18K
Информационная безопасность *
В предыдущем посте Сертификация средств защиты и персональные данные не хватало конкретики в вопросе сертификации как таковой.
В этот раз изложу не свое виденье вопроса, а выдержки из законов ведущие к тезису, что Сертификация — есть единственная форма оценки соответствия средств защиты требованиям по защите информации.
Статья получилась немного сумбурная, но, надеюсь, понятная.
Читать дальше →
Всего голосов 5: ↑4 и ↓1 +3
Комментарии 26

Защита ПДн в небольших, средних и больших организациях. Так ли все гладко?

Время прочтения 4 мин
Просмотры 11K
Информационная безопасность *
Если посмотреть на заморские страны и на их подход к защите персональных данных, мы сможем увидеть некоторую разницу с Россией, а именно:

  • население волнуется, когда передают свои данные в какую-либо компанию;
  • защита персональных данных строится не по принципу «лишь бы не докопались»;
  • компании со всей ответственностью и пониманием тратят деньги на различный СЗИ, на обучение сотрудников, на актуализацию и пересмотр угроз и рисков информационной безопасности.

Взять Государство Российское, все же делается наоборот. На эту тему я бы и хотел написать данную статью «об увиденном».
Читать дальше →
Всего голосов 8: ↑6 и ↓2 +4
Комментарии 8

О медицинской тайне или кому нужна информационная безопасность?

Время прочтения 2 мин
Просмотры 36K
Информационная безопасность *Разработка веб-сайтов *
У нас вследствие разгильдяйства, я сказал бы даже раздолбайства такого, которое превратилось уже в государственную угрозу

«У меня нечего взять, поэтому беспокоиться повода нет» — так думают не только обыватели, но и руководители непрофильного бизнеса. Если человек имеет свой мелкий бизнес и в excel ведет бухгалтерию убедить его заплатить за какую-то «ИБ», которая не приносит прибыли проблематично. Он так и будет надеяться на «авось». Ведь нарушение целостности\конфиденциальности\доступности может и не произойти, тогда зачем платить?
Читать дальше →
Всего голосов 71: ↑69 и ↓2 +67
Комментарии 54

Не совсем известные решения по защите ИТ-инфраструктуры бизнеса

Время прочтения 9 мин
Просмотры 50K
Блог компании КРОК Информационная безопасность *


Классический подход российского бизнеса сегодня — это установка файрволла, затем после первых попыток направленных атак — системы защиты от вторжений. И дальше спать спокойно. На практике это даёт хороший уровень защиты только против скрипткидди, при любой более-менее серьёзной угрозе (например, от конкурентов или атаке от недоброжелателей, либо направленной атаке от иностранной группы промшпионажа) нужно что-то дополнительное, помимо классических средств.

Я уже писал про профиль типовой направленной атаки на российское гражданское предприятие. Теперь расскажу о том, как меняется стратегия защиты в целом в нашей стране в последние годы, в частности, в связи со смещением векторов атак на 0-day и связанные с этим внедрения статических анализаторов кода прямо в IDE.

Плюс пара примеров на сладкое — вы узнаете, что может твориться в полностью изолированной от Интернета сети и на периметре банка.
Читать дальше →
Всего голосов 29: ↑24 и ↓5 +19
Комментарии 13

Как поймать то, чего нет. Часть четвертая: персональные данные без зонтика

Время прочтения 16 мин
Просмотры 12K
Информационная безопасность *
Многолетний труд регуляторов привел к появлению в нашей стране уже третьего поколения законов в этой области. Казалось бы, за долгие годы обсуждений в блогах и на конференциях все спорные моменты должны быть утрясены. Но нет. Практика показала, что (как минимум в нашей стране) компании интересуются защитой на бумаге. Возможно, именно поэтому больше обсуждаются вопросы, связанные с юридическими тонкостями, — что защищать, как получать согласие, где размещать сервера. А вот вопросы методики оценки угроз и выбора мер защиты не проработаны вовсе. Реализовать надежную систему защиты нереально в принципе.

Еще одна проблема — «не читал, но обсуждаю». Громадное количество запросов и комментариев делаются без прочтения документов, которые обсуждаются.

Не согласны? Два простых вопроса:

  • Требуют ли законы и документы регуляторов в области персональных данных использования в качестве защиты антивируса?
  • Можно ли использовать для защиты средства, имеющие зарубежные сертификаты?

Ответили? Давайте проверим ответы.

Читать дальше →
Всего голосов 8: ↑4 и ↓4 0
Комментарии 19

Роскомнадзор и его планы

Время прочтения 12 мин
Просмотры 50K
Законодательство в IT
Послепраздничные дни мая ознаменовались выходом огромного количества новых документов. Пока, как правило, в виде проектов, но все же. Как ни странно, но видимо привыкшие ко всему жители Хабра не обратили на это внимания. А между прочим, зря.

За прошедший год интерес к вопросам защиты персональных данных существенно упал. Видимо, большинство компаний так или иначе оформили необходимые документы — с одной стороны. А с другой стороны, несмотря на большие ожидания, Роскомнадзор так и не развернул массовые проверки. Более того, не сумев решить проблемы с количеством экспертов, он сократил штат и зарплаты сотрудников.

Но вернемся к нормотворчеству. Если в прошлом году нас пугали ростом уровня штрафов, то в этом году Роскомнадзор решил зайти с иной стороны, разместив проект Постановления Правительства РФ «Об утверждении Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации».

Думаю, большинство в курсе, что Роскомнадзор имеет так называемый Административный регламент, утвержденный Приказом Минкомсвязи России от 14.11.2011 N 312, в соответствии с которым, в частности, и должны проходить все проверки качества защиты персональных данных. На первый взгляд, проект Постановления Правительства очень напоминает этот регламент. Если бы не мелкие отличия.

Внимание! Публикация обсуждает элементы ужаса и мистики и не рекомендуется к чтению на ночь!
Читать дальше →
Всего голосов 43: ↑33 и ↓10 +23
Комментарии 32

Защита персональных данных -aaS

Время прочтения 5 мин
Просмотры 11K
Блог компании Облакотека Информационная безопасность *
Все организации в Российской Федерации так или иначе обрабатывают персональные данные, а следовательно попадают под действие ФЗ №152. На текущий момент бОльшая часть из них вообще ничего не делала на тему защиты персональных данных.
Читать дальше →
Всего голосов 12: ↑9 и ↓3 +6
Комментарии 11

Немного понагнетаем: стало понятнее, что будет с персональными данными после 1 сентября 2015

Время прочтения 5 мин
Просмотры 48K
Блог компании КРОК Информационная безопасность *

Штрафы за разные нарушения суммируются.

242-ФЗ подсказывает нам, что оператор обязан обеспечить запись, хранение, изменение и извлечение персональных данных граждан Российской Федерации (это всё, что прямо или косвенно относится к субъекту ПДн. И номер телефона, и даже уровень защищенности его данных можно отнести сюда согласно 152-ФЗ) с использованием баз данных, находящихся на территории Российской Федерации. С 1 сентября 2015 года. За использование первичной базы за пределами РФ вам светит относительно небольшой штраф и, что куда хуже, блокировка ресурсов в течение 3 рабочих дней с даты судебного решения. При этом разблокировать доступ и «выйти» из реестра можно будет только по решению суда.
Читать дальше →
Всего голосов 48: ↑36 и ↓12 +24
Комментарии 55

Безопасность в «облаках»

Время прочтения 7 мин
Просмотры 6.1K
Блог компании Inoventica Services Информационная безопасность *IT-стандарты *


В последние годы развитие рынка информационной безопасности и рост интереса у широкого круга лиц к данной сфере обусловлены актуальным вопросом защиты персональных данных. Немало приказов, дополнений к Федеральному закону № 152-ФЗ от 27.07.2006 г. «О персональных данных» (152-ФЗ), методик и рекомендаций регуляторов выпущено по этой теме.

Что же можно считать персональными данными? По определению это любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных). Например, если есть адрес субъекта, но нет ФИО, это так же персональные данные, но обезличенные, так как установить субъекта персональных данных без дополнительной информации не представляется возможным. Подробная классификация персональных данных приведена в постановлении Правительства от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (ПП-1119). Информацию по обезличенным персональным данным можно найти в 152-ФЗ.

Когда компания — оператор персональных данных — сталкивается с необходимостью защиты системы, содержащей персональные данные, она должна принять важное решение: создавать систему защиты на базе собственной инфраструктуры или перенести информационную систему в «облако», отдав исполнение требований законодательства на откуп хостинг-провайдеру.

В данной статье речь пойдет о втором подходе.
Читать дальше →
Всего голосов 6: ↑4 и ↓2 +2
Комментарии 2

Документы по защите персональных данных. Боремся с халявщиками

Время прочтения 5 мин
Просмотры 32K
Информационная безопасность *
Эта статья посвящена различного рода сервисам автоматической генерации комплекта внутренних документов организации по защите персональных данных на основе некоторой вводимой пользователем информации. Скажу честно, изначально это был гневный пост. Раздражение вызвала полученная по личным каналам информация о том, что представители одного из таких сервисов заходят к главным врачам лечебных учреждений города, в котором я проживаю, и пугают прокуратурой и наказанием за нарушение закона «О персональных данных» в случае отказа от подписки на такой сервис. Но вмешался случай — в процессе написания статьи возникли неотложные дела. И вся готовая на тот момент писанина была отправлена в черновики на неделю. За это время пар немного выпустился и сейчас я постараюсь спокойно объяснить почему такие сервисы не обеспечат надлежащее качество внутренней документации по защите персональных данных, расскажу о других проблемах таких порталов и в конце дам ссылку на некоторую сборную солянку тех же самых документов.

image
Читать дальше →
Всего голосов 27: ↑22 и ↓5 +17
Комментарии 59