Защита персональных данных 2015: новые особенности.
- Подробности
- Категория: Юридические вопросы ИБ
- Дата публикации: 27.03.2015 13:23
Доброго дня, уважаемые читатели!
Сегодня я снова решил поднять тему работы с персональными данными, так как считаю, что далеко не все вопросы разъяснены ранее, да и нововведения в нашем динамичном законодательстве не заставляют себя долго ждать. Особенности действительно есть и их много. В частности, появился Приказ ФСТЭК №21 от 18.02.2013, появились очередные поправки в 152-ФЗ "О ПДн", ну и конечно, как следствие, снова встал вопрос о трактовке тех или иных требований нашей нормативной базы. Вышло обновлённое Постановление Правительства №313 от 16.04.2014. Всё это требует некоторого пересмотра имеющихся вглядов в соответствии с текущими позициями регуляторов на нашу нынешнюю действительность.
В частности, наиболее интересными являются вопросы:
- Нужно ли при защите ПДн получать лицензию ФСТЭК на деятельность по ТЗКИ?
- Нужно ли при защите ПДн использовать крипографию? И если да, то в каких случаях?
- Если криптография нужна, то обязана ли она быть сертифицированной?
- Что такое биометрические ПДн и как определить, есть ли биометрия у вас? Как от неё избавиться?
- Как снизить необходимый уровень защищённости ИСПДн и избавиться от ряда "ненужных требований" 21-го приказа?
Конечно, это отнюдь не полный перечень всего, но начнём, как говорится, с малого.
Подробнее: Защита персональных данных 2015: новые особенности.
Лицензия на ТЗКИ: нужна ли она оператору ПДн?
- Подробности
- Категория: Юридические вопросы ИБ
- Дата публикации: 06.10.2014 12:50
Доброго дня, уважаемые читатели!
Сегодня впервые за долго время я снова решил поднять тему работы с персональными данными, так как считаю, что далеко не все вопросы разъяснены ранее, да и нововведения в нашем динамичном законодательстве не заставляют себя долго ждать. Особенности действительно есть и их много. В частности, появился Приказ ФСТЭК "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн" №21 от 18.02.2013, появились очередные поправки в 152-ФЗ "О ПДн", ну и конечно, как следствие, снова встал вопрос о трактовке тех или иных требований нашей нормативной базы. Всё это, конечно, требует некоторого пересмотра имеющихся вглядов на защиту персональных данных и действия операторов перс. данных. В особенности в совокупности с также постоянно меняющимися взглядами на это дело регуляторов - ФСТЭК и Роскомнадзора. Многие из подобных вещей я писал в статье о новом порядке действий оператора вот здесь.
А сейчас мы поговорим о насущном в наше время и ещё мною не освещённом вопросе: нужна ли оператору ПДн лицензия на техническую защиту конфиденциальной информации? И если да, то в каких случаях и почему? Если нет или сильно не хочется, то как правильно объясниться с регуляторами. Вопросы, согласитесь, весьма актуальные и весьма важные. Ибо получение такой лицензии даже в самом её упрощённом формате стоит ой как не дёшево как с финансовой точки зрения, так и с точки зрения потраченных нервов и сил.
Государственное регулирование в области информационной безопасности. Основные проблемы и угрозы.
- Подробности
- Категория: Юридические вопросы ИБ
- Дата публикации: 12.08.2013 16:31
Работая юристом в сфере ИБ (а современный безопасник, как известно, юрист как минимум на 33%), каждый специалист ИБ невольно наталкивается на множество актуальных проблем и конфликтов в правовой сфере, которые не разрешаются методом "почитать побольше законов и комментариев к ним". А в свете повсеместного введения процедур защиты персональных данных практически во всех компаниях (включая защиту ПДн в интернет-магазинах), вопросы правового регулирования сферы ИБ встают перед нами очень явственно. Как быть с постоянно меняющейся номративной базой? Как защищать ПДн в условиях постоянной динамики законодательства? Как решать проблемы с регуляторами ИБ в сфере их деятельности (ФСБ, Роскомнадзор, ФСТЭК)? Почему вообще у нас такое странное законодательство? Поговорим об этом подробнее. А за основу возьмём старое законодательство по защите ПДн (на нём хорошо видна суть; что же касается актуальных проблем ПДн, то сравнительный анализ старой и новой нормативной базы, а также новый порядок действия оператора приведены в соответствующих статьях). Продолжение следует...
Персональные данные: постановление 1119
- Подробности
- Категория: Юридические вопросы ИБ
- Дата публикации: 22.07.2013 10:03
Новое законодательство по персональным данным, как известно, вносит серьёзные коррективы в жизнь и деятельность почти любых коммерческих и некоммерческих структур по всей России. Новое ПП-1119 по началу поставило было своей неоднозначностью в тупик очень многих , но к текущему моменту ситуация более менее прояснилась, правоприменительная практика уже начинает появляться.
В данной статье не будет долгих рассуждений - лишь одна картинка на тему классификации ИСПДн, но картинка эта способна сильно помочь многим непрофессионалам быстро определить необходимый уровень защищённости своей ИСПДн без долгих и мучительных чтений всего ПП-1119. Итак...
CheckList по анализу соответствия ИСПДн
- Подробности
- Категория: Юридические вопросы ИБ
- Дата публикации: 19.07.2013 23:47
Продолжаем разговор о защите персональных данных и о том, как оператору ПДн облегчить себе жизнь. Из альтруистических побуждений выкладываю плод своих трудов для Центра финансовых технологий по анализу ИСПДн на предмет её соответствия новому законодательству по перс. данным. Документ представляет собой некий CheckList по всем ныне существующим требованиям законоадельства. Требования эти комплексно описаны в предыдущей статье: Защита персональных данных: новый порядок действий оператора.
CheckList состоит из следующих элементов: вопросы на определение типа и необходимого уровня защищённости ИСПДн; вопросы по общеобязательным требованиям; вопросы по требованиям в зависимости от уровня защищённости ИСПДн. Составлен вопросник достаточно системно, со всеми необходимыми пояснениями. Успешно прошёл испытания в реальной практике крупной компании. Проблем с его применением возникнуть не должно.
Надеюсь, мои труды кому-нибудь помогут.
A.S.
Защита персональных данных в интернет-магазинах
- Подробности
- Категория: Юридические вопросы ИБ
- Дата публикации: 19.07.2013 23:19
В современном бурно развивающемся IT-мире широкое распространение приобретает мир электронной коммерции: интернет-магазины / банки / сервисы, которые предоставляют пользователю множество полезных и удобных возможностей. А ещё, в этом же бурно развивающемся мире живёт, развивается и здравствует 152-ой федеральный закон и всё его множественное окружение в лице 1119 Постановления Правительства, 21-го приказа ФСТЭК, 66-ого - ФСБ и многие другие насущные представители целого мира под названием "защита персональных данных". Отсюда сразу возникает злободневный вопрос: как защищать персональные данные интернет-магазинов (в частности) в контексте всего этого поезда и маленькой тележки документов? О порядке действия оператора ПДн в общем случае, я писал в этой статье.
Эти два направления нашей реальности - интернет-коммерция и защита ПДн - вступают в глубокий конфликт. В особенности, в части таких, например, вещей, как получение от интернет-клиента согласия на обработку его персональных данных в письменной, как того требует закон, форме или обеспечение сертифицированного крипто-канала. Как же быть в таких ситуациях рядовым интернет-магазинам и прочим коммерческим web-сервисам? Рассмотрим эти вопросы подробнее.
Персональные данные: новый порядок действий оператора
- Подробности
- Категория: Юридические вопросы ИБ
- Дата публикации: 19.07.2013 17:07
Рассмотрим в текущей статье порядок действия оператора персональных данных по организации обработки и защиты персональных данных в соответствии с текущим новым законодательством. В частности, в соответствии со введением в нынешнем году ПП-1119 и Приказа ФСТЭК №21. Напомню также, что в соответствии с ПП-1119 переделывать старые согласованные (ФСТЭК) ИСПДн в новые не обязательно: обязательным это становится лишь для новых и реорганизованных ИСПДн.
Итак, перейдём к рассмотрению насущного и почти для всех уже злободневного вопроса: "как же всё-таки быть с этим 152-ым законом"?!
Подробнее: Персональные данные: новый порядок действий оператора
Персональные данные: сравнительный анализ старой и новой нормативной базы
- Подробности
- Категория: Юридические вопросы ИБ
- Дата публикации: 19.07.2013 13:18
В предыдущей статье мы рассмотрели особенности и порядок действий оператора персональных данных согласно старой и новой правовой базе. Как было указано, важность сопоставления двух законодательств заключается в известном требовании регуляторов: ИСПДн, построенные по старому законодательству и прошедшие успешное согласование с ФСТЭК, могут не вливать доп. средства и не переделывать (а могут и переделать) свою информационную систему (ИСПДн), дабы соответствовать новым требованиям. В случае же реорганизации какой-либо ИСПДн или появления у организации новых ИСПДн, защищать персональные данные по новому законодательству придётся.
Таким образом, возникает вопрос, переделывать ли старую ИСПДн на новую сейчас или оставить это дело до реорганизации ИС? Тут важен момент: как часто меняется у организации структура хранения и обработки персональных данных в ИСПДн и на сколько эти изменения серьёзны / будут ли они входить в описанную старую документацию или же нет? В случае, если изменения предвидятся в скоро будущем, переходить на новую систему явно надо и лучше сделать это как можно скорее во избежание лишнего геморроя в будущем. Если же изменения происходят не предвидятся, можно пока подождать и сэкономить средства на введение доп. мер защиты. Хотя в некоторых особых случаях перевод ИСПДн на новые требования может сократить расходы (на использование защитных мер).
Итак, перейдём к анализу...
Подробнее: Персональные данные: сравнительный анализ старой и новой нормативной базы
Персональные данные: как было раньше - как теперь
- Подробности
- Категория: Юридические вопросы ИБ
- Дата публикации: 19.07.2013 12:36
Персональные данные - культовая тема современного мира информационной безопасности, да и просто IT. Без них теперь никуда и никак. Они всем надоели, создают один геморрой и несут мало реальной пользы, но защищать их надо. Рассмотрим некоторую историю изменений всего комплекса законодательства по персональным данным и проведём некоторый сравнительный анализ.
Опишем требования старого законодательства и нового, включая перечень мер и порядок действий, который необходимо совершить оператору ПДн для признания его ИСПДн "соответствующей". Важно ли это? Важно, да ещё как! В новом законодательстве определён один интересный момент: для старых ИСПДн, признанных соответствующими, выполнять требования нового законодательства не обязательно (можно привести в соответствие, можно не приводить): оно носит обязательных характер только для вновь создаваемых ИСПДн и для случая реорганизации старых. Вопрос о том, стоит ли переделывать старые ИСПДн к соответствию новому законодательству - очень хороший и актуальный. Именно поэтому поставленный выше вопрос требует рассмотрения хорошего и подробного.
Те, кому читать историю не интересно, а интересен только итоговый сравнительный анализ, могут сразу перейти к статье: Персональные данные: сравнительный анализ старой и новой нормативной базы.
Кроме того, о весьма актуальном вопросе обязательности получения лицензии на деятельность по ТЗКИ оператором ПДн я писал в этой статье.
Подробнее: Персональные данные: как было раньше - как теперь
Защита коммерческой тайны: правовое регулирование
- Подробности
- Категория: Юридические вопросы ИБ
- Дата публикации: 19.07.2013 11:41
Коммерческая тайна и её защита (в т.ч. правовая) – важная составляющая многих коммерческих организаций по всему миру, в её охрану многими IT-гигантами вкладываются миллионы долларов, обеспечивая тем самым защиту миллиардов! В защиту коммерческой тайны входят вопросы охраны патентов, know-how любого бизнеса, а также всё, что только может обеспечивать компании то, что в Европе стало называться культовым словом УТП (уникальное торговое предложение). Сегодня все эти вопросы начинаются с решения задачи именно правовой защиты коммерческой тайны.
Вопросы касательно того, почему в США на охрану КТ отводится денег, порой, больше, чем тратят целые подразделения ФБР в том же регионе, а также почему их коммерческая тайна – в частности, патенты – стоят эти самые мульти-миллионы – вопрос отдельной беседы / статьи, которая обязательно появится на сайте в скором времени. А в данном материале рассмотрим вопросы нормативно-правового регулирования коммерческой тайны: в частности, что же такое КТ и как происходит процедура её защиты в современных российских реалиях с учётом судебной практики, деятельности регуляторов (в контексте 98-ФЗ «О коммерческой тайне») и реальной защиты бизнеса.
Подробнее: Защита коммерческой тайны: правовое регулирование