Лаборатория информационной безопасности

Защита персональных данных 2015: новые особенности.

Рейтинг:   / 9

Доброго дня, уважаемые читатели!

Сегодня я снова решил поднять тему работы с персональными данными, так как считаю, что далеко не все вопросы разъяснены ранее, да и нововведения в нашем динамичном законодательстве не заставляют себя долго ждать. Особенности действительно есть и их много. В частности, появился Приказ ФСТЭК №21 от 18.02.2013, появились очередные поправки в 152-ФЗ "О ПДн", ну и конечно, как следствие, снова встал вопрос о трактовке тех или иных требований нашей нормативной базы. Вышло обновлённое Постановление Правительства №313 от 16.04.2014. Всё это требует некоторого пересмотра имеющихся вглядов в соответствии с текущими позициями регуляторов на нашу нынешнюю действительность.

В частности, наиболее интересными являются вопросы:

1. Нужно ли при защите ПДн получать лицензию ФСТЭК на деятельность по ТЗКИ?
2. Нужно ли при защите ПДн использовать крипографию? И если да, то в каких случаях?
3. Если криптография нужна, то обязана ли она быть сертифицированной?
4. Что такое биометрические ПДн и как определить, есть ли биометрия у вас? Как от неё избавиться?
5. Как снизить необходимый уровень защищённости ИСПДн и избавиться от ряда "ненужных требований" 21-го приказа?

Конечно, это отнюдь не полный перечень всего, но начнём, как говорится, с малого.

Подробнее: Защита персональных данных 2015: новые особенности.

Лицензия на ТЗКИ: нужна ли она оператору ПДн?

Рейтинг:   / 3

Доброго дня, уважаемые читатели!

Сегодня впервые за долго время я снова решил поднять тему работы с персональными данными, так как считаю, что далеко не все вопросы разъяснены ранее, да и нововведения в нашем динамичном законодательстве не заставляют себя долго ждать. Особенности действительно есть и их много. В частности, появился Приказ ФСТЭК "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн" №21 от 18.02.2013, появились очередные поправки в 152-ФЗ "О ПДн", ну и конечно, как следствие, снова встал вопрос о трактовке тех или иных требований нашей нормативной базы. Всё это, конечно, требует некоторого пересмотра имеющихся вглядов на защиту персональных данных и действия операторов перс. данных. В особенности в совокупности с также постоянно меняющимися взглядами на это дело регуляторов - ФСТЭК и Роскомнадзора. Многие из подобных вещей я писал в статье о новом порядке действий оператора вот здесь.

А сейчас мы поговорим о насущном в наше время и ещё мною не освещённом вопросе: нужна ли оператору ПДн лицензия на техническую защиту конфиденциальной информации? И если да, то в каких случаях и почему? Если нет или сильно не хочется, то как правильно объясниться с регуляторами. Вопросы, согласитесь, весьма актуальные и весьма важные. Ибо получение такой лицензии даже в самом её упрощённом формате стоит ой как не дёшево как с финансовой точки зрения, так и с точки зрения потраченных нервов и сил.

Подробнее: Лицензия на ТЗКИ: нужна ли она оператору ПДн?

Зачем Сноуден приехал в Россию или что знают российские спецслужбы

Рейтинг:   / 3

В последнее время у рядовых граждан (и не только) всё чаще возникает вопрос о соблюдении их гражданских прав и свобод, которые вроде бы как должна гарантировать им Конституция. В свете недавних событий, связанных с небезызвестным именем Эдварда Сноудена, данные вопросы ставятся чуть более, чем остро. Впрочем, происходящие события касаются далёких США, и во многих из нас тлеет надежда, что в нашей-то стране всё безоблачно и честно: строго соблюдается  закон «Об оперативно-разыскной деятельности», закон «О ФСБ», «О полиции», Конституция, наконец. В это хотелось бы верить. Но как же обстоят дела на самом деле? Чем отличается ФСБ и СВР от АНБ и ЦРУ? Почему вообще Сноуден приехал именно в Россию? Вопросов много, а ответов меньше, чем хотелось бы. Попробуем разобраться.

Начнём с истории. В далёком 1996-ом году, когда телефонная связь в России только начала завоёвывать популярность граждан, доблестные правоохранители решили, что неплохо бы ввести контроль за разговорами граждан, ведь там иногда можно услышать много интересного. Так появилась система прослушивания телефонных разговоров СОРМ-1. Цель, конечно, была благая – борьба с преступными элементами, коих в 90-ые, как известно, было немало.  Ввели соответствующие поправки в закон «О связи» и "Об оперативно-разыскной деятельности": обязали всех операторов связи устанавливать соответствующее оборудование за свой счёт (необходимое условие получения лицензии), поддерживать его и хранить/предоставлять информацию по первому зову от человека в форме и с бумажкой (судебной; впрочем, бумажка, как потом выяснилось, в этом алгоритме совсем не обязательна). Впоследствии, те же правила распространились и на операторов сотовой связи.

Подробнее: Зачем Сноуден приехал в Россию или что знают российские спецслужбы

Государственное регулирование в области информационной безопасности. Основные проблемы и угрозы.

Рейтинг:   / 1

Работая юристом в сфере ИБ (а современный безопасник, как известно, юрист как минимум на 33%), каждый специалист ИБ невольно наталкивается на множество актуальных проблем и конфликтов в правовой сфере, которые не разрешаются методом "почитать побольше законов и комментариев к ним". А в свете повсеместного введения процедур защиты персональных данных практически во всех компаниях (включая защиту ПДн в интернет-магазинах), вопросы правового регулирования сферы ИБ встают перед нами очень явственно. Как быть с постоянно меняющейся номративной базой? Как защищать ПДн в условиях постоянной динамики законодательства? Как решать проблемы с регуляторами ИБ в сфере их деятельности (ФСБ, Роскомнадзор, ФСТЭК)? Почему вообще у нас такое странное законодательство? Поговорим об этом подробнее. А за основу возьмём старое законодательство по защите ПДн (на нём хорошо видна суть; что же касается актуальных проблем ПДн, то сравнительный анализ старой и новой нормативной базы, а также новый порядок действия оператора приведены в соответствующих статьях). Продолжение следует...

Подробнее: Государственное регулирование в области информационной безопасности. Основные проблемы и угрозы.

Защита информации от утечек или снова о коммерческой тайне и бизнесе

Рейтинг:   / 2

Сотрудникам практически любой современной коммерческой организации в силу исполнения ими служебных обязанностей часто требуется работать с коммерческой тайной или – говоря проще – информацией ограниченного доступа. К такой информации часто относят know-how, бизнес-процессы компании, технологические схемы, персональные данные сотрудников (включая данные о зарплатах), клиентские базы, патенты и многое-многое другое. При этом у сотрудников обычно есть доступ в Интернет по основным протоколам прикладного уровня. Соответственно, они могут с лёгкостью превратиться в инсайдера и толкнуть любой секрет компании « налево» и никакие традиционные СЗИ тут не помогут, а ценность информации - значит, и число инсайдеров - в современном мире с каждым годом всё растёт и растёт. Коммерческая тайна сегодня - неотъемлемый элемент информационной безопасности предприятия.

Как же в таких условиях защищать коммерческую тайну, как предприятию обезопасить свой бизнес от утечек с учётом рентабельности принимаемых мер, от чего вообще стоит защищаться и что считать КТ? Рассмотрим все эти вопросы подробнее.

Подробнее: Защита информации от утечек или снова о коммерческой тайне и бизнесе

Персональные данные: постановление 1119

Рейтинг:   / 5

Новое законодательство по персональным данным, как известно, вносит серьёзные коррективы в жизнь и деятельность почти любых коммерческих и некоммерческих структур по всей России. Новое ПП-1119 по началу поставило было своей неоднозначностью в тупик очень многих , но к текущему моменту ситуация более менее прояснилась, правоприменительная практика уже начинает появляться.

В данной статье не будет долгих рассуждений - лишь одна картинка на тему классификации ИСПДн, но картинка эта способна сильно помочь многим непрофессионалам быстро определить необходимый уровень защищённости своей ИСПДн без долгих и мучительных чтений всего ПП-1119. Итак...

Подробнее: Персональные данные: постановление 1119