Как стать автором
Обновить
  • по релевантности
  • по времени
  • по рейтингу

Вебинар DataLine «Как выполнить требования 152-ФЗ в облаке?» 11 февраля

Блог компании DataLine Информационная безопасность *

Закон «О персональных данных» касается практически всех компаний. Если вы собираете и храните ФИО, имейлы и телефоны клиентов для оформления заказов или программы лояльности, стоит проверить, не нарушаете ли вы закон.

На вебинаре 11 февраля с 12:00 до 13:00 поговорим, как адекватно определить требуемый уровень защищенности, где заканчивается ответственность облачного провайдера, что такое аттестация, и всем ли она нужна.

Читать далее
Всего голосов 9: ↑9 и ↓0 +9
Просмотры 768
Комментарии 0

Защита персональных данных — опыт внедрения

Информационная безопасность *
Из песочницы
Как помнят все интересующиеся ФЗ-152 «О персональных данных» был принят в далеком 2006 году. Введение Закона в действие долго откладывалось, но когда-то он должен был заработать. 1 июля 2011 это случилось.
Для нас (госконтора, база примерно на 20000 человек в то время) проблема поднялась в 2008 году.
На начальном этапе не слишком сильно, но потом как в сказке: «Чем дальше, тем страшнее».

Первый этап — начальные Оргмеры.

— В каждой бумажке типа Заявления появилась надпись маленькими буковками (чтобы оставить прежний размер бланка) — «Выражаю согласие на необходимое использование моих персональных данных, в том числе в информационных системах».
— В Заявлениях на детские пособия было внесено добавление про несовершеннолетних детей.
— Также были взяты отдельные Заявления с согласием предоставления и передачи данных из других учреждений (Пенсионный Фонд, НПФ т.п.).

Читать дальше →
Всего голосов 45: ↑40 и ↓5 +35
Просмотры 11K
Комментарии 36

Мифы о защите персональных данных в облаке

Блог компании КРОК Информационная безопасность *

В последнее время часто поднимаются вопросы о возможности обработки и защиты персональных данных в «облаках» в соответствии с ФЗ №152 «О персональных данных». Всё это зачастую напоминает обсуждение мифов, поэтому рискну изложить свой взгляд на проблему защиты ИСПДн в облаках и попробую ответить на основные вопросы.

Примерный список вопросов таков:
  • Можно ли, в принципе, размещать информационные системы персональных данных (ИСПДн) в «облаке» с учетом требований регулирующих органов по защите информации?
  • Какими свойствами должно обладать «облако», чтобы его можно было использовать для построения информационных систем персональных данных (ИСПДн)?
  • Что необходимо учесть оператору ПДн, решившему перенести свои информационные ресурсы в «облако»?
  • Возможно ли аттестовать ИСПДн, размещенную в публичном «облаке»?
  • Какие задачи по обеспечению ИБ возлагаются на облачного провайдера?
  • Какие существуют гарантии того, что конкурент, размещенный в том же «облаке» по соседству, надежно отделен и не сможет атаковать, находясь внутри «облака»?
  • От чего зависит ИСПДн какого класса можно построить в конкретном «облаке»?
Читать дальше →
Всего голосов 29: ↑15 и ↓14 +1
Просмотры 39K
Комментарии 30

Как Сбербанк распространяет ваши личные данные

Информационная безопасность *
Я дал знакомому номер моей карты, чтобы он мог перевести мне деньги.
Знакомый сделал перевод и получил квитанцию.
В его квитанции оказались указаны мои паспортные данные (см. скан квитанции под катом).

Я сообщил о проблеме на странице www.facebook.com/sberbank, получил рекомендацию написать на адрес zabota@sberbank.ru

17 сентября я отправил на этот адрес описание истории и вопрос:

«Сообщите пожалуйста, почему и как в квитанции оказались мои паспортные данные и, таким образом, произошла передача моих персональных данных третьему лицу?»

Прошло почти 2 недели, никакого ответа я так и не получил, поэтому начинаю размещение открытых сообщений.

Я считаю, что важно, чтобы максимальное количество клиентов Сбера узнало о том, как банк относится к их личным данным.

UPDATE — NB: А в Альфа-клике Альфа-Банка оказывается можно узнать ФИО и номер счёта клиента, зная лишь имейл или телефон (откройте печатную форму после перевода). Гуляй, Рассея!

UPDATE — Сбербанк:Сотрудник банка сообщил, что это и ошибка оператора и ошибка в софте:
beskov, как и обещал, возвращаюсь с результатами. Уже сейчас можно сказать, что Ваш отзыв оказался очень полезным для Сбербанка. В результате тщательного анализа этого случая нам удалось выявить не только ошибку операциониста, но и дефект ПО, устранение которого позволит предотвратить возможность возникновения таких случаев. Поэтому позвольте еще раз поблагодарить Вас за сигнал.


Читать дальше →
Всего голосов 281: ↑266 и ↓15 +251
Просмотры 171K
Комментарии 271

Сертификация средств защиты и персональные данные

Информационная безопасность *
Из песочницы
Сертификация средств защиты информации вызывала, вызывает и будет вызывать огромное количество вопросов у IT-люда. И к сожалению не только у него: сами «законотворцы» и «методикоделы» не всегда толком могут ответить на вопрос о сертификации. Тут можно выделить пожалуй два подвопроса:
1. Что «хотят» контролирующие органы (ФСТЭК, ФСБ, Роскомнадзор) — далее «КО»;
2. А что «хочет» закон и методики.
Частично написано в ответ на Защита информации и сертификация. Если нет разницы — зачем платить больше?, где, считаю, не совсем корректно представлено текущее положение дел… хотя взгляд на него излагаю из личного опыта общения с КО, сертифицирующими органами, клиентами и опытом внедрения систем защиты.
Читать дальше →
Всего голосов 3: ↑2 и ↓1 +1
Просмотры 21K
Комментарии 16

Почему оценка соответсвия средств защиты информации и есть сертификация

Информационная безопасность *
В предыдущем посте Сертификация средств защиты и персональные данные не хватало конкретики в вопросе сертификации как таковой.
В этот раз изложу не свое виденье вопроса, а выдержки из законов ведущие к тезису, что Сертификация — есть единственная форма оценки соответствия средств защиты требованиям по защите информации.
Статья получилась немного сумбурная, но, надеюсь, понятная.
Читать дальше →
Всего голосов 5: ↑4 и ↓1 +3
Просмотры 16K
Комментарии 26

Защита ПДн в небольших, средних и больших организациях. Так ли все гладко?

Информационная безопасность *
Если посмотреть на заморские страны и на их подход к защите персональных данных, мы сможем увидеть некоторую разницу с Россией, а именно:

  • население волнуется, когда передают свои данные в какую-либо компанию;
  • защита персональных данных строится не по принципу «лишь бы не докопались»;
  • компании со всей ответственностью и пониманием тратят деньги на различный СЗИ, на обучение сотрудников, на актуализацию и пересмотр угроз и рисков информационной безопасности.

Взять Государство Российское, все же делается наоборот. На эту тему я бы и хотел написать данную статью «об увиденном».
Читать дальше →
Всего голосов 8: ↑6 и ↓2 +4
Просмотры 10K
Комментарии 8

О медицинской тайне или кому нужна информационная безопасность?

Информационная безопасность *Разработка веб-сайтов *
У нас вследствие разгильдяйства, я сказал бы даже раздолбайства такого, которое превратилось уже в государственную угрозу

«У меня нечего взять, поэтому беспокоиться повода нет» — так думают не только обыватели, но и руководители непрофильного бизнеса. Если человек имеет свой мелкий бизнес и в excel ведет бухгалтерию убедить его заплатить за какую-то «ИБ», которая не приносит прибыли проблематично. Он так и будет надеяться на «авось». Ведь нарушение целостности\конфиденциальности\доступности может и не произойти, тогда зачем платить?
Читать дальше →
Всего голосов 71: ↑69 и ↓2 +67
Просмотры 35K
Комментарии 54

Не совсем известные решения по защите ИТ-инфраструктуры бизнеса

Блог компании КРОК Информационная безопасность *


Классический подход российского бизнеса сегодня — это установка файрволла, затем после первых попыток направленных атак — системы защиты от вторжений. И дальше спать спокойно. На практике это даёт хороший уровень защиты только против скрипткидди, при любой более-менее серьёзной угрозе (например, от конкурентов или атаке от недоброжелателей, либо направленной атаке от иностранной группы промшпионажа) нужно что-то дополнительное, помимо классических средств.

Я уже писал про профиль типовой направленной атаки на российское гражданское предприятие. Теперь расскажу о том, как меняется стратегия защиты в целом в нашей стране в последние годы, в частности, в связи со смещением векторов атак на 0-day и связанные с этим внедрения статических анализаторов кода прямо в IDE.

Плюс пара примеров на сладкое — вы узнаете, что может твориться в полностью изолированной от Интернета сети и на периметре банка.
Читать дальше →
Всего голосов 29: ↑24 и ↓5 +19
Просмотры 50K
Комментарии 13

Как поймать то, чего нет. Часть четвертая: персональные данные без зонтика

Информационная безопасность *
Многолетний труд регуляторов привел к появлению в нашей стране уже третьего поколения законов в этой области. Казалось бы, за долгие годы обсуждений в блогах и на конференциях все спорные моменты должны быть утрясены. Но нет. Практика показала, что (как минимум в нашей стране) компании интересуются защитой на бумаге. Возможно, именно поэтому больше обсуждаются вопросы, связанные с юридическими тонкостями, — что защищать, как получать согласие, где размещать сервера. А вот вопросы методики оценки угроз и выбора мер защиты не проработаны вовсе. Реализовать надежную систему защиты нереально в принципе.

Еще одна проблема — «не читал, но обсуждаю». Громадное количество запросов и комментариев делаются без прочтения документов, которые обсуждаются.

Не согласны? Два простых вопроса:

  • Требуют ли законы и документы регуляторов в области персональных данных использования в качестве защиты антивируса?
  • Можно ли использовать для защиты средства, имеющие зарубежные сертификаты?

Ответили? Давайте проверим ответы.

Читать дальше →
Всего голосов 8: ↑4 и ↓4 0
Просмотры 11K
Комментарии 19

Роскомнадзор и его планы

Законодательство в IT
Послепраздничные дни мая ознаменовались выходом огромного количества новых документов. Пока, как правило, в виде проектов, но все же. Как ни странно, но видимо привыкшие ко всему жители Хабра не обратили на это внимания. А между прочим, зря.

За прошедший год интерес к вопросам защиты персональных данных существенно упал. Видимо, большинство компаний так или иначе оформили необходимые документы — с одной стороны. А с другой стороны, несмотря на большие ожидания, Роскомнадзор так и не развернул массовые проверки. Более того, не сумев решить проблемы с количеством экспертов, он сократил штат и зарплаты сотрудников.

Но вернемся к нормотворчеству. Если в прошлом году нас пугали ростом уровня штрафов, то в этом году Роскомнадзор решил зайти с иной стороны, разместив проект Постановления Правительства РФ «Об утверждении Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации».

Думаю, большинство в курсе, что Роскомнадзор имеет так называемый Административный регламент, утвержденный Приказом Минкомсвязи России от 14.11.2011 N 312, в соответствии с которым, в частности, и должны проходить все проверки качества защиты персональных данных. На первый взгляд, проект Постановления Правительства очень напоминает этот регламент. Если бы не мелкие отличия.

Внимание! Публикация обсуждает элементы ужаса и мистики и не рекомендуется к чтению на ночь!
Читать дальше →
Всего голосов 43: ↑33 и ↓10 +23
Просмотры 25K
Комментарии 32

Защита персональных данных -aaS

Блог компании Облакотека Информационная безопасность *
Все организации в Российской Федерации так или иначе обрабатывают персональные данные, а следовательно попадают под действие ФЗ №152. На текущий момент бОльшая часть из них вообще ничего не делала на тему защиты персональных данных.
Читать дальше →
Всего голосов 12: ↑9 и ↓3 +6
Просмотры 11K
Комментарии 11

Немного понагнетаем: стало понятнее, что будет с персональными данными после 1 сентября 2015

Блог компании КРОК Информационная безопасность *

Штрафы за разные нарушения суммируются.

242-ФЗ подсказывает нам, что оператор обязан обеспечить запись, хранение, изменение и извлечение персональных данных граждан Российской Федерации (это всё, что прямо или косвенно относится к субъекту ПДн. И номер телефона, и даже уровень защищенности его данных можно отнести сюда согласно 152-ФЗ) с использованием баз данных, находящихся на территории Российской Федерации. С 1 сентября 2015 года. За использование первичной базы за пределами РФ вам светит относительно небольшой штраф и, что куда хуже, блокировка ресурсов в течение 3 рабочих дней с даты судебного решения. При этом разблокировать доступ и «выйти» из реестра можно будет только по решению суда.
Читать дальше →
Всего голосов 48: ↑36 и ↓12 +24
Просмотры 48K
Комментарии 55

Безопасность в «облаках»

Блог компании Inoventica Services Информационная безопасность *IT-стандарты *


В последние годы развитие рынка информационной безопасности и рост интереса у широкого круга лиц к данной сфере обусловлены актуальным вопросом защиты персональных данных. Немало приказов, дополнений к Федеральному закону № 152-ФЗ от 27.07.2006 г. «О персональных данных» (152-ФЗ), методик и рекомендаций регуляторов выпущено по этой теме.

Что же можно считать персональными данными? По определению это любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных). Например, если есть адрес субъекта, но нет ФИО, это так же персональные данные, но обезличенные, так как установить субъекта персональных данных без дополнительной информации не представляется возможным. Подробная классификация персональных данных приведена в постановлении Правительства от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (ПП-1119). Информацию по обезличенным персональным данным можно найти в 152-ФЗ.

Когда компания — оператор персональных данных — сталкивается с необходимостью защиты системы, содержащей персональные данные, она должна принять важное решение: создавать систему защиты на базе собственной инфраструктуры или перенести информационную систему в «облако», отдав исполнение требований законодательства на откуп хостинг-провайдеру.

В данной статье речь пойдет о втором подходе.
Читать дальше →
Всего голосов 6: ↑4 и ↓2 +2
Просмотры 6K
Комментарии 2

Документы по защите персональных данных. Боремся с халявщиками

Информационная безопасность *
Эта статья посвящена различного рода сервисам автоматической генерации комплекта внутренних документов организации по защите персональных данных на основе некоторой вводимой пользователем информации. Скажу честно, изначально это был гневный пост. Раздражение вызвала полученная по личным каналам информация о том, что представители одного из таких сервисов заходят к главным врачам лечебных учреждений города, в котором я проживаю, и пугают прокуратурой и наказанием за нарушение закона «О персональных данных» в случае отказа от подписки на такой сервис. Но вмешался случай — в процессе написания статьи возникли неотложные дела. И вся готовая на тот момент писанина была отправлена в черновики на неделю. За это время пар немного выпустился и сейчас я постараюсь спокойно объяснить почему такие сервисы не обеспечат надлежащее качество внутренней документации по защите персональных данных, расскажу о других проблемах таких порталов и в конце дам ссылку на некоторую сборную солянку тех же самых документов.

image
Читать дальше →
Всего голосов 27: ↑22 и ↓5 +17
Просмотры 32K
Комментарии 59

Закон «О персональных данных» и практика его применения в российской действительности

Блог компании RUVDS.com


Как известно, в России несколько лет действует Федеральный Закон №152 «О персональных данных».
За время его первой публикации в 2006 году Закон претерпел значительные изменения, а сами данные теперь обязаны храниться на территории Российской Федерации и быть защищены. На практике это приводит к повышению ответственности бизнеса в отношении обработки данных. О том насколько сложно соблюдать требования Закона «О персональных данных» и дает ли это реальный эффект пойдет речь в этой статье.

Любое юридическое лицо, организованное в российском правовом поле подпадает под данное регулирование. Наш проект RUVDS Закон затрагивает как в части обработки личных данных клиентов, так и защиты информации, с которой работают клиенты на нашем оборудовании.

Есть несколько объектов защиты.

Первый тип данных — сами данные о клиенте. К примеру, это его имя, дата и место рождения, паспортные данные, для юридических лиц – данные о компании. Клиент при начале работы с сервисом соглашается передать нам эту информацию на обработку, а мы обязуемся работать с ними в соответствии с Законом. Это более-менее понятный и просто объект защиты.

Второй тип данных – информация, которая непосредственно хранится клиентами на VDS/VPS сервере. Это как раз более значимый и важный объект защиты. Примерами таких данных может быть логин-пароль к социальной сети, почте, личная бухгалтерия у физических лиц. А у юридических лиц спектр подобной информации еще шире – это и клиентские базы данных, и бухгалтерия, и специализированное ПО.
Читать дальше →
Всего голосов 16: ↑6 и ↓10 -4
Просмотры 18K
Комментарии 23

Закон «О персональных данных» и практика его применения в российской действительности. Часть 2

Блог компании RUVDS.com


По мотивам предыдущей статьи и комментариев к ней мы пишем продолжение, которое, как мы считаем, раскроет максимально тему организации защиты персональных данных и лицензирования при предоставлении Вами различного рода услуг.

Сразу к конкретике.
Пусть Вы – владелец какого-либо бизнеса, масштаб не важен — от маленькой бухгалтерской конторы до крупной корпорации. Содержание своей инфраструктуры для Вас дорого или неприемлемо по какой-либо причине и Вы хотите передать функционал по хранению и обработке данных третьей стороне.
При решении данной задачи вы должны задаться рядом вопросов:

  • Имеете ли Вы право передавать обработку третьей стороне, и какие условия при этом накладываются на Вас и на Ваших партнеров по обработке данных? Кто несет ответственность за персональные данные при передаче обработке партнеру-третьей стороне?
  • Нужны ли Вам какие-либо лицензии? Какие отчеты по ним Вам будет необходимо сдавать? Кто такой оператор персональных данных?
  • Будете ли Вы работать с конфиденциальной информацией, какие условия Вы и Ваш партнер при этом должны выполнять? Какие лицензии нужны?
Читать дальше →
Всего голосов 10: ↑8 и ↓2 +6
Просмотры 24K
Комментарии 10

Научно-практический комментарий Роскомнадзора к закону «О персональных данных». Есть ли в нем что-то научное и практическое?

Законодательство в IT
Совсем недавно в узконаправленных СМИ появилась новость о том, что Роскомнадзор опубликовал под эгидой Российской газеты чтиво под названием: «Федеральный закон «О персональных данных». Научно-практический комментарий». Для меня по роду деятельности эта брошюра (ну как брошюра, почти 200-страничный талмуд) просто «маст хэв». Несмотря на то что я уже 7 лет занимаюсь защитой персональных данных в организациях, за все это время так и не выстроилось в голове стройной картины «что, как и почему». Я надеялся, что рассматриваемый документ поможет хоть что-то упорядочить. Получилось ли у Роскомнадзора прояснить мутные моменты законодательства о персональных данных, читайте под катом.

image

Читать дальше →
Всего голосов 21: ↑21 и ↓0 +21
Просмотры 22K
Комментарии 11

Еще один блог по защите информации и персональных данных

Я пиарюсь
Здравствуй, Хабр!

Хочу представить вам свой блог по защите информации и персональных данных.
На хабре я написал несколько статей на эту тему. Раз. Два. Три. Четыре. Пять.

Свой блог решил завести по нескольким причинам:

1. Хочется писать не только длинные статьи, но и короткие заметки, высказывать свои мысли и просто свое видение на ту или иную проблему. А это не совсем формат хабра.
2. Не хочется оглядываться на карму, рейтинг и прочие атрибуты. Захотелось свою площадку, где можно выразить свои мысли, может даже и не очень популярные.
3. Я давно читаю других блогеров по ИБ, и со временем у меня сформировалось понимание того, что мне тоже есть что сказать.

Проанализировав свои статьи на хабре я понял, что наибольший интерес вызвала самая первая статья о подготовке к проверкам Роскомнадзора по защите персональных данных. Поэтому решил начать свой блог с цикла статей на эту тему, переработав их, разбив на тематические блоки и добавив новую информацию, которая появилась со времени публикации первой статьи.

Читать дальше →
Всего голосов 6: ↑4 и ↓2 +2
Просмотры 2.4K
Комментарии 10