Обновить
  • по релевантности
  • по времени
  • по рейтингу

Как из бумажной безопасности сделать практическую, или зачем нам соблюдение 152-ФЗ и PCI DSS в одном облаке

Блог компании DataLine Информационная безопасность *IT-инфраструктура *Облачные вычисления *Облачные сервисы
Наша IaaS-платформа Cloud-152 одновременно сертифицирована по требованиям PCI DSS и имеет аттестат соответствия 152-ФЗ по УЗ-2 (без актуальных угроз 1-го и 2-го типа). Эта же платформа входит еще и в область действия нашей системы управления информационной безопасностью (СУИБ), которую мы сертифицировали по ISO/IEC 27001:2013. Про это и про STAR Cloud Security Alliance (CSA) я обязательно как-нибудь тоже расскажу, но сегодня остановлюсь на плюсах синергии PCI DSS и 152-ФЗ для наших клиентов.
Читать дальше →
Всего голосов 20: ↑18 и ↓2 +16
Просмотры 6.3K
Комментарии 13

Вебинар DataLine «Как выполнить требования 152-ФЗ в облаке?» 11 февраля

Блог компании DataLine Информационная безопасность *

Закон «О персональных данных» касается практически всех компаний. Если вы собираете и храните ФИО, имейлы и телефоны клиентов для оформления заказов или программы лояльности, стоит проверить, не нарушаете ли вы закон.

На вебинаре 11 февраля с 12:00 до 13:00 поговорим, как адекватно определить требуемый уровень защищенности, где заканчивается ответственность облачного провайдера, что такое аттестация, и всем ли она нужна.

Читать далее
Всего голосов 9: ↑9 и ↓0 +9
Просмотры 884
Комментарии 0

Видеорегистратор для админа: зачем нам и клиентам запись сессий в Cloud-152

Блог компании DataLine Информационная безопасность *Хранение данных *Хранилища данных *Облачные сервисы

Какая бы защита ни стояла в облаке, контролируют ее все равно люди. Администраторы с повышенным уровнем доступа ― это привилегированные пользователи, их работу тоже нужно контролировать и не допускать превышения полномочий. Если после вмешательства админа возникнет проблема, стандартные журналы событий не всегда помогут расследованию причин: там хранится множество другой информации, не всегда настроен достаточный срок хранения, да и сам администратор при желании может удалить записи.

Для расследования инцидентов мы используем не только журналы c конечных устройств, но и систему контроля действий поставщиков ИТ-услуг (СКДПУ). Она записывает все действия инженеров DataLine с Cloud-152. Это облако аттестовано по требованиям ФЗ-152 и Приказа № 17 ФСТЭК России к ГИС, сертифицировано по стандарту PCI DSS и входит в область действия сертификата по ISO/IEC 27001:2013. Так что СКДПУ еще и помогает выполнять требования законов и стандартов. 

Также система используется, если нужно помочь клиенту и подключиться к серверам в его информационной системе персональных данных (ИСПДн). Доступ наших администраторов к S3 и некоторым другим системам тоже контролируем через СКДПУ.   

В статье покажу, за какой уровень защиты облака у нас отвечает СКДПУ, чем и как он может помочь клиентам. 

Читать далее
Всего голосов 15: ↑15 и ↓0 +15
Просмотры 2.3K
Комментарии 0

Мифы о 152-ФЗ, которые могут дорого обойтись оператору персональных данных

Блог компании DataLine Информационная безопасность *IT-инфраструктура *
Всем привет! Я руковожу центром киберзащиты DataLine. К нам приходят заказчики с задачей выполнения требований 152-ФЗ в облаке или на физической инфраструктуре.
Практически в каждом проекте приходится проводить просветительскую работу по развенчанию мифов вокруг этого закона. Я собрал самые частые заблуждения, которые могут дорого обойтись бюджету и нервной системе оператора персональных данных. Сразу оговорюсь, что случаи госконтор (ГИС), имеющих дело с гостайной, КИИ и пр. останутся за рамками этой статьи.

Читать дальше →
Всего голосов 42: ↑41 и ↓1 +40
Просмотры 83K
Комментарии 72

Хостинг по требованиям 152-ФЗ

Информационная безопасность *
imageКомпания Parking.ru запустила новую услугу под говорящим названием «Хостинг ИСПДн». Эта услуга позволит заказчикам (операторам персональных данных) вынести на аутсорсинг информационные системы, содержащие и обрабатывающие эти самые персональные данные (ИСПДн), как то: социальные сервисы, интернет-магазины, системы биллинга, кадровые системы, бухгалтерию и другие привычные нам сервисы.

Подробнее об аутсорсинге152-ФЗ
Всего голосов 23: ↑18 и ↓5 +13
Просмотры 15K
Комментарии 21

Как соблюсти требования 152-ФЗ, защитить персональные данные своих клиентов и не наступить на наши грабли  

Блог компании Linxdatacenter IT-инфраструктура *Хранение данных *Законодательство в IT


По российским законам любая компания, работающая с личными данными своих пользователей в России, становится оператором ПДн, хочет она того или нет. Это накладывает на нее ряд формальных и процедурных обязательств, которые не каждый бизнес может или хочет нести самостоятельно.

Как показывает практика – совершенно правильно не хочет, потому что эта область знаний еще настолько новая и не обкатанная на практике, что сложности и вопросы возникают даже у профессионалов. Сегодня мы расскажем о том, как реализовывали проект под хранение персональных данных для нашего заказчика и с какими неочевидными сложностями столкнулись.
Читать дальше →
Всего голосов 14: ↑13 и ↓1 +12
Просмотры 12K
Комментарии 10

IaaS 152-ФЗ: итак, вам нужна безопасность

Блог компании CloudMTS Информационная безопасность *IT-инфраструктура *Законодательство в IT

Сколько бы ни разбирали мифы и легенды, которыми окружено соответствие 152-ФЗ, что-то всегда остается за кадром. Сегодня мы хотим обсудить не всегда очевидные нюансы, с которыми могут столкнуться как крупные компании, так и совсем небольшие предприятия:

• тонкости классификации ПДн по категориям — когда небольшой интернет-магазин собирает данные, относящиеся к специальной категории, даже не зная об этом;

• где можно хранить бэкапы собранных ПДн и производить над ними операции;

• чем отличается аттестат и заключение о соответствии, какие вообще документы запрашивать у провайдера и все в таком духе.

Напоследок мы поделимся с вами собственным опытом прохождения аттестации. Поехали!

Читать далее
Всего голосов 5: ↑4 и ↓1 +3
Просмотры 4.6K
Комментарии 9

ФЗ-152 надоел, простое решение c хранением персональных данных на nginx

Законодательство в IT Облачные сервисы

Всем привет,

Я последние несколько лет очень часто сталкиваюсь с проектами по адаптации под 152-ФЗ и он мне честно порядком надоел. Поэтому, прочитав опять весь закон, все комментарии различных ведомств и трактовки уважаемых людей, а также проанализировав ряд решений, которые прошли успешно аудит, я кажется, нашел простой технический вариант как сделать ваш web-site, API или приложение, соответствующее закону о персональных данных 152-ФЗ в разрезе требования о сборе пнд на территории России. Я даже автоматизировал развертывание этой штуки и это занимает не больше 10-ти минут. Давайте обсудим применимость данного подхода?

Читать далее
Всего голосов 16: ↑11 и ↓5 +6
Просмотры 10K
Комментарии 24

White Paper о ФЗ №152 — книга, на которую можно ссылаться в вопросах обработки персональных данных

Блог компании Cloud4Y Информационная безопасность *IT-инфраструктура *Законодательство в IT Читальный зал
Tutorial


Введение


Данный документ является руководством, описывающим действия организаций, которые необходимо предпринять ответственным лицам для соответствия законодательству, регулирующему отношения, связанные с обработкой персональных данных.

При подготовке были использованы факты и логические заключения, сделанные на основе действующих нормативных правовых актов Российской Федерации, формирующих «границы» правового поля, в которых необходимо находится при совершении любых операций со сведениями о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющих прямо или косвенно идентифицировать его личность.
Читать дальше →
Всего голосов 12: ↑10 и ↓2 +8
Просмотры 8.2K
Комментарии 3

Как ВКонтакте нарушает 152-Ф3

ВКонтакте API *Законодательство в IT
Из песочницы

Как все знают, в нашей прекрасной стране существует интересный федеральный закон «О персональных данных» он же 152-Ф3 (можно ознакомиться с ним, например, тут), но суть немного не о нём, а о том как главная социальная сеть ВКонтакте нарушает данное законодательство.

Читать далее
Всего голосов 53: ↑34 и ↓19 +15
Просмотры 9.9K
Комментарии 14

Вконтакте и Федеральный Закон 152

Информационная безопасность *
VS

Как я посмотрел, на Хабре уже несколько раз поднималась тема «Федеральный Закон №152 и социальная сеть „Вконтакте“. Но я добавлю ещё пару копеек, ибо считаю это достаточно важным замечанием, которое, быть может, заставит кого-то задуматься.
под катом скандалы, интриги, расследования
Всего голосов 177: ↑149 и ↓28 +121
Просмотры 15K
Комментарии 106

Исследование соответствия интернет-магазинов закону 152 ФЗ «О персональных данных»

Законодательство в IT
Recovery mode
Из песочницы
Исследование соответствия интернет-магазинов закону 152 ФЗ «О персональных данных" проведено некоммерческим сайтом 152rf.com. Как известно, в случае если ваш сайт обрабатывает персональные данные россиян, вам необходимо предупреждать об этом ваших пользователей. Если на сайте не будет галочки «Согласие на обработку персональных данных», либо не будет «Политики конфиденциальности», владелец сайта может получить достаточно крупный штраф, в зависимости от найденных нарушений. В данном исследовании было проверено 36 750 российских интернет-магазинов.
Читать дальше →
Всего голосов 15: ↑8 и ↓7 +1
Просмотры 4.8K
Комментарии 22

Планируются изменения в ФЗ-152

Блог компании Cloud4Y Информационная безопасность *SaaS / S+S *Законодательство в IT Облачные сервисы

На сайте regulation.gov.ru появились и уже прошли 25 июня 2018 г. окончания публичного обсуждения два интересных проекта:

  • Проект Федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации (в части уточнения принципов обработки персональных данных в государственных информационных системах)»
  • Проект Федерального закона «О внесении изменений в статью 13.11 Кодекса Российской Федерации об административных правонарушениях»

Интересного в этих проектах то, что они собираются внести изменения в ФЗ-152 «О персональных данных» и в «КоАП», что уже наводит на мысли.

Итак, не будем ничего выдумывать, а просто процитируем:
«1. Часть 5 статьи 6 дополнить следующими абзацами:
«Оператор, поручивший обработку персональных данных другому лицу, несет ответственность за осуществление надлежащего контроля за действиями другого лица в соответствии с законодательством Российской Федерации.
Порядок осуществления оператором контроля за действиями лица, осуществляющего обработку персональных данных по его поручению, устанавливается оператором самостоятельно.»
Читать дальше →
Всего голосов 18: ↑17 и ↓1 +16
Просмотры 16K
Комментарии 47

Что дает обычному человеку Федеральный Закон №152 О персональных данных?

Информационная безопасность *
Из песочницы
Об операторах персональных данных написано довольно много статей.
Операторы очень расстроены, что им приходится тратить средства на защиту персональной информации, что им всем тяжело живется и вообще все очень плохо.
С другой стороны есть сами владельцы персональных данных, и я предлагаю рассмотреть тему именно с этой стороны. Что же дает владельцу персональных данных ФЗ № 152 и каким способом он может защитить свои законные интересы?
В данном случае разговор пойдет о коммерческих организациях, вопрос относительно государственных органов – тема отдельной статьи.

Читать дальше →
Всего голосов 84: ↑79 и ↓5 +74
Просмотры 122K
Комментарии 142

Как соответствовать ФЗ-152 «О персональных данных» c «Битрикс24» и «1С-Битрикс»

Блог компании 1С-Битрикс Управление проектами *Управление e-commerce *Законодательство в IT
С 1 июля 2017 года будет сильно ужесточена административная ответственность за нарушения при работе с персональными данными физических лиц. Это касается и владельцев сайтов, которые собирают такую информацию о посетителях. Как быть тем пользователям Битрикс24, кто собирал персональные данные автоматизированно, с помощью CRM-форм или Открытых линий? Мы решили помочь своим клиентам соблюсти закон и избежать штрафов. Автоматизируем и это!


Всего голосов 19: ↑14 и ↓5 +9
Просмотры 16K
Комментарии 8

В 2021 году размер капитальных расходов производителей полупроводников вырастет до $152 млрд

Исследования и прогнозы в IT Процессоры

По оценкам аналитической компании IC Insights, капитальные расходы на производство процессоров в текущем году вырастут на 34% в сравнении с предыдущим годом и составят рекордные $152 млрд. Эксперты говорят, что к 2030 году рынок полупроводников достигнет $2 трлн. 

Читать далее
Всего голосов 7: ↑7 и ↓0 +7
Просмотры 556
Комментарии 0

152-ФЗ. ЦОДы, базы данных и уведомления о них

Информационная безопасность *
Согласно изменениям, внесенным в Федеральный закон 152-ФЗ Федеральным законом от 21.07.2014 N 242-ФЗ, уведомление, направляемое в Роскомнадзор должно содержать:

10.1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;

До недавнего времени данное требование не дублировалось ни в Административном регламенте Роскомнадзора, ни в формах соответствующих Уведомлений (их две — для подачи в бумажном и в электронном виде — и как ни странно они различны). Но поскольку закон-есть-закон (изменения 152-ФЗ, требующие указывать местонахождение БД с ПДн вступили в силу этим летом), то логично, что Роскомнадзор требовал с операторов указывать эти данные в уведомлении. И естественно это вызывало трудности у операторов, поскольку на вопрос что и где нужно указывать ответить никто не мог.

Но все меняется и Минсвязи выпустило Приказ от 28 августа 2015 г. N 315 (ссылки в pdf, текстовом виде).
Читать дальше →
Всего голосов 14: ↑11 и ↓3 +8
Просмотры 26K
Комментарии 7

Патч навязчивого предупреждения «Нажмите Esc для...» в Flash-плеере версии 10.2.152.32

Браузеры
Давно известно (с беты 10.2), что в области исправлений недостатков версия 10.2 флеш-плеера принесла хорошие результаты. Уже не нужно патчить плеер, чтобы он не сворачивался из полного экрана при переключении фокуса на второй монитор. Осталась необходимось (или желательность) патча навязчивой надписи «Нажмите Esc для...».

4 марта 2011 г. появилась новая версия плеера — 10.2.152.32 (была 10.2.152.26 с 27.янв.2011). Хороший повод обновить версии патчей. Теперь остался актуальным 1 патч, поэтому всё, что нам нужно, обычно быстро, оперативно выкладывают читатели в ветке forum.videohelp.com/threads/304807-How-to-remove-annoying-Press-Esc-to-message-in-Flash-Video. В конце ветки сообщений часто можно видеть самые новые версии; затем их выкладывают в первое сообщение темы. Метод патча немного другой, чем использовавшийся нами ранее: удаляются все предупреждающие сообщения на всех языках. Версия плагина стала мультиязычной, и теперь патч подходит для любого национального языка в операционной системе (проверялось в WinXP 32 bit и Windows 7 64 bit).

Сейчас в ветке того форума лежат 2 свежих пропатченных файла для FF-Opera и IE для новой версии плеера (среагировали буквально за день); не хватает — для Хрома. Выложим здесь все 3 файла единым архивом. (Если тема Вам интересна, не забываем поддерживать её, иначе другие читатели не увидят.)
Читать дальше →
Всего голосов 18: ↑9 и ↓9 0
Просмотры 1.6K
Комментарии 4

«Обезличенные данные» или что планируется в 152-ФЗ

Хранение данных *Законодательство в IT
Краткая выдержка из законопроекта о внесении изменений в Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (152-ФЗ). С данными правками 152-ФЗ «позволит торговать» Big Data, усилит права оператора персональных данных. Возможно читателям будет интересно обратить внимание на ключевые моменты. Для детального разбора конечно же рекомендуется читать первоисточник.
Читать дальше →
Всего голосов 10: ↑9 и ↓1 +8
Просмотры 9.9K
Комментарии 2