Лицензия на ТЗКИ: нужна ли она оператору ПДн?
- Подробности
- Категория: Юридические вопросы ИБ
- Дата публикации: 06.10.2014 12:50
Доброго дня, уважаемые читатели!
Сегодня впервые за долго время я снова решил поднять тему работы с персональными данными, так как считаю, что далеко не все вопросы разъяснены ранее, да и нововведения в нашем динамичном законодательстве не заставляют себя долго ждать. Особенности действительно есть и их много. В частности, появился Приказ ФСТЭК "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн" №21 от 18.02.2013, появились очередные поправки в 152-ФЗ "О ПДн", ну и конечно, как следствие, снова встал вопрос о трактовке тех или иных требований нашей нормативной базы. Всё это, конечно, требует некоторого пересмотра имеющихся вглядов на защиту персональных данных и действия операторов перс. данных. В особенности в совокупности с также постоянно меняющимися взглядами на это дело регуляторов - ФСТЭК и Роскомнадзора. Многие из подобных вещей я писал в статье о новом порядке действий оператора вот здесь.
А сейчас мы поговорим о насущном в наше время и ещё мною не освещённом вопросе: нужна ли оператору ПДн лицензия на техническую защиту конфиденциальной информации? И если да, то в каких случаях и почему? Если нет или сильно не хочется, то как правильно объясниться с регуляторами. Вопросы, согласитесь, весьма актуальные и весьма важные. Ибо получение такой лицензии даже в самом её упрощённом формате стоит ой как не дёшево как с финансовой точки зрения, так и с точки зрения потраченных нервов и сил.
Государственное регулирование в области информационной безопасности. Основные проблемы и угрозы.
- Подробности
- Категория: Юридические вопросы ИБ
- Дата публикации: 12.08.2013 16:31
Работая юристом в сфере ИБ (а современный безопасник, как известно, юрист как минимум на 33%), каждый специалист ИБ невольно наталкивается на множество актуальных проблем и конфликтов в правовой сфере, которые не разрешаются методом "почитать побольше законов и комментариев к ним". А в свете повсеместного введения процедур защиты персональных данных практически во всех компаниях (включая защиту ПДн в интернет-магазинах), вопросы правового регулирования сферы ИБ встают перед нами очень явственно. Как быть с постоянно меняющейся номративной базой? Как защищать ПДн в условиях постоянной динамики законодательства? Как решать проблемы с регуляторами ИБ в сфере их деятельности (ФСБ, Роскомнадзор, ФСТЭК)? Почему вообще у нас такое странное законодательство? Поговорим об этом подробнее. А за основу возьмём старое законодательство по защите ПДн (на нём хорошо видна суть; что же касается актуальных проблем ПДн, то сравнительный анализ старой и новой нормативной базы, а также новый порядок действия оператора приведены в соответствующих статьях). Продолжение следует...
Защита персональных данных 2015: новые особенности.
- Подробности
- Категория: Юридические вопросы ИБ
- Дата публикации: 27.03.2015 13:23
Доброго дня, уважаемые читатели!
Сегодня я снова решил поднять тему работы с персональными данными, так как считаю, что далеко не все вопросы разъяснены ранее, да и нововведения в нашем динамичном законодательстве не заставляют себя долго ждать. Особенности действительно есть и их много. В частности, появился Приказ ФСТЭК №21 от 18.02.2013, появились очередные поправки в 152-ФЗ "О ПДн", ну и конечно, как следствие, снова встал вопрос о трактовке тех или иных требований нашей нормативной базы. Вышло обновлённое Постановление Правительства №313 от 16.04.2014. Всё это требует некоторого пересмотра имеющихся вглядов в соответствии с текущими позициями регуляторов на нашу нынешнюю действительность.
В частности, наиболее интересными являются вопросы:
- Нужно ли при защите ПДн получать лицензию ФСТЭК на деятельность по ТЗКИ?
- Нужно ли при защите ПДн использовать крипографию? И если да, то в каких случаях?
- Если криптография нужна, то обязана ли она быть сертифицированной?
- Что такое биометрические ПДн и как определить, есть ли биометрия у вас? Как от неё избавиться?
- Как снизить необходимый уровень защищённости ИСПДн и избавиться от ряда "ненужных требований" 21-го приказа?
Конечно, это отнюдь не полный перечень всего, но начнём, как говорится, с малого.
Подробнее: Защита персональных данных 2015: новые особенности.
Защита персональных данных в интернет-магазинах
- Подробности
- Категория: Юридические вопросы ИБ
- Дата публикации: 19.07.2013 23:19
В современном бурно развивающемся IT-мире широкое распространение приобретает мир электронной коммерции: интернет-магазины / банки / сервисы, которые предоставляют пользователю множество полезных и удобных возможностей. А ещё, в этом же бурно развивающемся мире живёт, развивается и здравствует 152-ой федеральный закон и всё его множественное окружение в лице 1119 Постановления Правительства, 21-го приказа ФСТЭК, 66-ого - ФСБ и многие другие насущные представители целого мира под названием "защита персональных данных". Отсюда сразу возникает злободневный вопрос: как защищать персональные данные интернет-магазинов (в частности) в контексте всего этого поезда и маленькой тележки документов? О порядке действия оператора ПДн в общем случае, я писал в этой статье.
Эти два направления нашей реальности - интернет-коммерция и защита ПДн - вступают в глубокий конфликт. В особенности, в части таких, например, вещей, как получение от интернет-клиента согласия на обработку его персональных данных в письменной, как того требует закон, форме или обеспечение сертифицированного крипто-канала. Как же быть в таких ситуациях рядовым интернет-магазинам и прочим коммерческим web-сервисам? Рассмотрим эти вопросы подробнее.