Персональные данные: новый порядок действий оператора
- Подробности
- Категория: Юридические вопросы ИБ
- Дата публикации: 19.07.2013 17:07
Рассмотрим в текущей статье порядок действия оператора персональных данных по организации обработки и защиты персональных данных в соответствии с текущим новым законодательством. В частности, в соответствии со введением в нынешнем году ПП-1119 и Приказа ФСТЭК №21. Напомню также, что в соответствии с ПП-1119 переделывать старые согласованные (ФСТЭК) ИСПДн в новые не обязательно: обязательным это становится лишь для новых и реорганизованных ИСПДн.
Итак, перейдём к рассмотрению насущного и почти для всех уже злободневного вопроса: "как же всё-таки быть с этим 152-ым законом"?!
Подробнее: Персональные данные: новый порядок действий оператора
Персональные данные: сравнительный анализ старой и новой нормативной базы
- Подробности
- Категория: Юридические вопросы ИБ
- Дата публикации: 19.07.2013 13:18
В предыдущей статье мы рассмотрели особенности и порядок действий оператора персональных данных согласно старой и новой правовой базе. Как было указано, важность сопоставления двух законодательств заключается в известном требовании регуляторов: ИСПДн, построенные по старому законодательству и прошедшие успешное согласование с ФСТЭК, могут не вливать доп. средства и не переделывать (а могут и переделать) свою информационную систему (ИСПДн), дабы соответствовать новым требованиям. В случае же реорганизации какой-либо ИСПДн или появления у организации новых ИСПДн, защищать персональные данные по новому законодательству придётся.
Таким образом, возникает вопрос, переделывать ли старую ИСПДн на новую сейчас или оставить это дело до реорганизации ИС? Тут важен момент: как часто меняется у организации структура хранения и обработки персональных данных в ИСПДн и на сколько эти изменения серьёзны / будут ли они входить в описанную старую документацию или же нет? В случае, если изменения предвидятся в скоро будущем, переходить на новую систему явно надо и лучше сделать это как можно скорее во избежание лишнего геморроя в будущем. Если же изменения происходят не предвидятся, можно пока подождать и сэкономить средства на введение доп. мер защиты. Хотя в некоторых особых случаях перевод ИСПДн на новые требования может сократить расходы (на использование защитных мер).
Итак, перейдём к анализу...
Подробнее: Персональные данные: сравнительный анализ старой и новой нормативной базы
Зачем Сноуден приехал в Россию или что знают российские спецслужбы
- Подробности
- Категория: Организационная безопасность
- Дата публикации: 02.12.2013 17:24
В последнее время у рядовых граждан (и не только) всё чаще возникает вопрос о соблюдении их гражданских прав и свобод, которые вроде бы как должна гарантировать им Конституция. В свете недавних событий, связанных с небезызвестным именем Эдварда Сноудена, данные вопросы ставятся чуть более, чем остро. Впрочем, происходящие события касаются далёких США, и во многих из нас тлеет надежда, что в нашей-то стране всё безоблачно и честно: строго соблюдается закон «Об оперативно-разыскной деятельности», закон «О ФСБ», «О полиции», Конституция, наконец. В это хотелось бы верить. Но как же обстоят дела на самом деле? Чем отличается ФСБ и СВР от АНБ и ЦРУ? Почему вообще Сноуден приехал именно в Россию? Вопросов много, а ответов меньше, чем хотелось бы. Попробуем разобраться.
Начнём с истории. В далёком 1996-ом году, когда телефонная связь в России только начала завоёвывать популярность граждан, доблестные правоохранители решили, что неплохо бы ввести контроль за разговорами граждан, ведь там иногда можно услышать много интересного. Так появилась система прослушивания телефонных разговоров СОРМ-1. Цель, конечно, была благая – борьба с преступными элементами, коих в 90-ые, как известно, было немало. Ввели соответствующие поправки в закон «О связи» и "Об оперативно-разыскной деятельности": обязали всех операторов связи устанавливать соответствующее оборудование за свой счёт (необходимое условие получения лицензии), поддерживать его и хранить/предоставлять информацию по первому зову от человека в форме и с бумажкой (судебной; впрочем, бумажка, как потом выяснилось, в этом алгоритме совсем не обязательна). Впоследствии, те же правила распространились и на операторов сотовой связи.
Подробнее: Зачем Сноуден приехал в Россию или что знают российские спецслужбы
Бумажная безопасность vs Практическая безопасность
- Подробности
- Категория: Организационная безопасность
- Дата публикации: 18.07.2013 14:03
Специфика развития современного мира информационной безопасности такова, что для рассмотрения целостной картины ИБ (в особенности говоря о безопасности бизнеса, как об основной цели ИБ) невозможно без выделения двух важных и неотъемлемых составляющих: бумажной безопасности и практической - две противоположные стороны всего мира информационной безопасности, два подхода со своими плюсами и минусами, со своим мировоззрением: бумажники и практики - теоретики и техники. В чём же разница между ними, какую точку зрения принять и какая сторона правильнее? Попробуем разобраться.
Бумажная безопасность – это в первую очередь безопасность, которая пытается защитить информацию на основе стандартов, то есть берёт ФСТЭК-овский / ФСБ-шный / ГОСТ-ый / ISO-шный документ и начинает его исполнять. Сюда же относится организационная безопасность предприятия и стратегический (не технический) подход в решении проблем, учитывающий психологию людей и структуру (в т.ч. финансовую) организации. Практическая безопасность – это, к примеру, та, которая патчит всё подряд: что увидел, то запатчил; что опасно, на то цепляем логирование, антивирусы, "огненные стены" и прочие радости жизни админа, т.е. все проблемы ИБ она решает исключительно техническими мерами. Кто важнее и какой подход правильнее, как влияет на бизнес современная мировая кибербезопасность, что об этом говорят мировые best practice? Разговор нам предстоит долгий...
Подробнее: Бумажная безопасность vs Практическая безопасность