четверг, 29 декабря 2011 г.

Статья в журнале "Персональные данные"

Сегодня вышла моя статья "Прохождение внеплановой проверки Роскомнадзора без предписаний", журнал доступен по подписке по адресу http://www.privacy-journal.ru/. В статье я даю советы о том, как подготовиться к приходу регуляторов и пережить проверку с минимальными потерями. Надеюсь, она будет Вам полезной!

вторник, 27 декабря 2011 г.

Семинар Интертакс "Живые встречи": выступление представителя Роскомнадзора

23 декабря прошел семинар "Живые встречи", на котором прозвучало 3 доклада: о защите персональных данных, о сетевых атаках с точки зрения нарушителя, а также о сетевых атаках с точки зрения специалиста по защите.
Наибольший интерес для меня представлял доклад О.В. Костынюк, представителя Роскомнадзора по Красноярскому краю. Хочу поделиться с вами заметками на полях, при создании системы защиты персональных данных знать мнение Роскомнадзора может быть очень полезным :-)

1. В первой половине 2012 года планируется выход 4 документов:
  • Первый будет определять обязательные требования для муниципальных и госорганов.
  • Второй документ определит уровни защищенности в зависимости от угроз.
  • Третий документ определяет требования к защите.
  • Последний устанавливает порядок согласования с ФСБ и ФСТЭК по определению дополнительных угроз безопасности.
2. Оператором является также юр лицо, которому поручили обработку ПДн.
3. № квартиры, сумма долга на подъезде - персональные данные, а следовательно их разглашение - нарушение.
4. Общедоступный источник - перечни, справочники и информация на сайте. А общедоступные ПДн - определяет субъект для общедоступного размещения.
5. ПДн ни в коем случае не должны быть избыточными! Нельзя собирать сведения о родственниках сотрудников без их согласия. А также запрещено собирать сведения о судимости.
6. При обработке на основании договора согласия на обработку можно не брать, исключение для трудовых отношений - банковские карты, для перечисления зарплаты необходимо брать согласие.
7. Проиграно дело по факту незаконной передачи оператором ПДн абонентов третьему лицу для печати и рассылки квитанций.
8. Взыскать долг с привлечением коллектором незаконно без согласия субъекта.
9. "Судим" и "не судим", "здоров" и "не здоров" - не Пдн специальной категории.
10 По родственникам можно брать только ФИО и контакты (по форме Т2).
11. Неавтоматизированная обработка ПДн - обработка с применением систематизации и классификации. 
12. Телефонная книга на компьютере = обработка ПДн.
13. Хорошая практика: прописать в локальном акте, как заполнять форму по учету кадров.
14. Необходимо обязательно размещать для общедоступного пользования политику по защите ПДн.
15. Для официальных запросов ПДн: запрос должен содержать конкретные лица - на кого передавать ПДн, цель, статью законодательства.
16. Электронные пропуска = биометрия.
17. Биометрия - только если используем для идентификации, ксерокопии паспорта не являются биометрией.
18. Обращения граждан о нарушениях: 2009 год - 146 обращений, 2011 - более 1700.
19. Необходимо указывать сведения о СЗИ в уведомлении.

Основные нарушения:
1. Неподача уведомления.
2. Обработка без согласия субъекта, несоответствие письменной формы согласия требованиям законодательства.
3. В договоре отсутствует перечень действий, целей обработки.
4. Сотрудники допущены к неавтоматизированной обработке ПДн без подписи.

Семинар на мой взгляд был очень полезным и позволил узнать мнение контролирующего органа (в нашем регионе) по некоторым спорным вопросам.

четверг, 22 декабря 2011 г.

План проверок Роскомнадзора на 2012 год

На сайте Роскмонадзора появился план проверок на 2012 год -  http://www.rsoc.ru/plan-and-reports/contolplan/ . Из предприятий газовой промышленности - Закрытое акционерное общество "Газпром межрегионгаз Астрахань".

вторник, 20 декабря 2011 г.

Организация межсетевого взаимодействия локальных вычислительных сетей, подключение к Интернет, сетевая безопасность

Сегодня пригласили на семинар http://meeting.intertax.ru/seminar/3, обязательно пойду, также советую идти и другим специалистам по ЗИ в Красноярске. Выступает Оксана Васильевна Костынюк начальник отдела надзора в сфере информационных технологий и защиты прав субъектов персональных данных Управления Роскомнадзора по Красноярскому краю. Интересно будет узнать ее точку зрения, ведь именно Оксана Васильевна отвечает на вопросы по защите персональных данных в Красноярском крае. У меня даже сохранились официальные письма ее авторства - так что готовлюсь ко встрече с легендой :-)

В плане мероприятия О.В. Костынюк выступит со следующим докладом:
1. Законодательство в области персональных данных;
2. Контроль и надзор за обработкой персональных данных;
3. Уведомление об обработке персональных данных;
4. Судебная практика по применению ФЗ № 152 "О персональных данных".
Так, до 23 декабря осталось время, какие бы каверзные вопросы придумать... :-)


ЗЫ. Участие в семинаре бесплатное, на данный момент осталось еще 10 мест.

вторник, 13 декабря 2011 г.

С наступающим новым годом всех защитников информации!

Атмосфера в Красноярске уже по-настоящему новогодняя: снег, мороз, массовые закупки подарков и т.д.:)
А что можно пожелать в будущем году специалистам по защите информации?
Первое, что приходит в голову:
1. Изменений в законе о персональных данных - чтобы меры по защите определял Оператор, а ответственность была только за произошедшие утечки, фотографии, подписи и пропуска - исключили из биометрии, а работу в Word подвели под неавтоматизированную обработку, чтобы можно было применять несертифицированные СЗИ! Если вы представитель интегратора - то Вам надо желать прямо противоположного!:)
2. Безопасной дистанционной работы с банками - чтобы украденные со счетов деньги возвращали, даже если мы спохватились через месяц!:)
3. Высокой зарплаты - чтобы нам добавляли не только за гостайну, но и за защиту персональных данных, коммерческой тайны и за то, что мы есть! (как в песне Булановой: "Ах как хочется быть, быть, быть и за это получать цветы"):)
4. Правильно организованного режима коммерческой тайны и ни одной утечки, ну если только предотвращенной в самый последний момент (а нам за это премию и уважение начальства)!
5. Лояльных сотрудников, но чтобы не заскучать - мелких инцидентов!:)

А что хотели бы Вы?:)

понедельник, 5 декабря 2011 г.

Нарушения в области обработки персональных данных


 В августе этого года бурно обсуждалась плановая проверка Управлением Роскомандзора по Саратовской области ООО «Центра здоровья «Европласт» http://64.rsoc.ru/news/news27226.htm. Данная проверка меня заинтересовала как прецедент и я решила отследить, чем же закончилось дело. Новость от 26 августа на сайте Прокуратуры Волжского района http://sarprok.ru/ViewNews.aspx?NewsID=18915:

Обществом нарушен установленный законом порядок сбора, хранения и использования информации о гражданах.Прокуратурой Волжского района принято решение о возбуждении в отношении ООО "Центр здоровья "Европласт" дела об административном правонарушении по ст. 13.11 КоАП РФ (нарушение установленного законом порядка сбора, хранения и использования информации о гражданах (персональных данных).Так, при проведении территориальным управление Роскомнадзора проверки ООО не представлены: сведения о назначении ответственного за организацию обработки персональных данных клиентов ООО "Центр здоровья "Европласт"; документы, определяющие политику оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, а также иные нарушения.Материалы проверки направлены мировому судье для принятия решения по существу.

 Новость от 8 сентября на сайте Управления Роскомнадзора по Саратовской области http://64.rsoc.ru/news/news28181.htm:

 По материалам проведенной Управлением Роскомнадзора плановой выездной проверки клиники ООО "Центр здоровья "Европласт" прокуратурой Волжского района г. Саратова возбуждено дело об административном правонарушении по ст. 13.11 КоАП РФ. Постановлением мирового судьи ООО "Центр здоровья "Европласт" признано виновным и подвергнуто административному наказанию в виде штрафа в размере 5000 рублей.

 Какие мы можем сделать из этого выводы? Во-первых - наказание по все той же 13.11, штраф в размере 5000. Во-вторых можно выделить основные направления работы над недочетами:
  • Назначить ответственного за организацию обработки персональных данных, прописать его обязанности в дополнении к трудовому договору.
  •  Создать политику в отношении обработки персональных данных.
  • Создать «локальные акты, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, в отношении персональных данных». Думаю, что подойдет раздел в положении о защите персональных данных.
  • Оценить вред субъектам персональных данных. Здесь каждый может придумать свою методику, единого стандарта пока нет.
  • Завести журнал и собрать подписи об ознакомлении с нормами законодательства и локальными нормативными актами.
  • Создать положение о неавтоматизированной обработке.

пятница, 2 декабря 2011 г.

Статья по информационной безопасности

Недавно вышла моя статья в журнале "Information Security/Информационная безопасность" №5, 2011 год. Электронная версия  - http://www.itsec.ru/imag/insec-5-2011/ (рубрика "В фокусе", стр. 4-5).
Статья посвящена обоснованию необходимости защиты информации в организации перед руководством. Надеюсь, что она будет Вам полезной!