четверг, 31 июля 2014 г.

В каких случаях необходимо брать согласие на обработку персональных данных?

Добрый вечер, дорогие читатели! Предлагаю Вашему вниманию составленную мной простенькую схему-шпаргалку, которая позволяет быстро определить в каких случаях необходимо брать согласие на обработку персональных данных:


понедельник, 28 июля 2014 г.

Страница моего блога ВКонтакте.

Добрый день, для удобства читателей создана публичная страница ВКонтакте. Ссылка вот. На странице будут размещаться ссылки на заметки моего блога и интересные мне статьи других авторов, а также новости. Присоединяйтесь :)

Винсент ван Гог "Ирисы". Источник

среда, 23 июля 2014 г.

Без тебя, без тебя. Всё ненужным стало сразу без тебя

Здравствуй, дорогой читатель! Как много всего произошло за это лето (а ведь оно еще не закончилось), я поменяла место жительства, город, работу, только блог не изменился, ну ты и сам видишь. У нас стоит такая жара, которая совершенно не способствует рабочему настроению, но ведь работать с рабочим настроением может каждый дурак, а мы с тобой не такие. Раз мою страницу читают, (а я слежу за статистикой и знаю о чем говорю) значит, нужно писать, несмотря на загруженность, переезд, лень и все остальные отговорки. Как часто мое внутреннее Я выбирает поиграть с котом, а не писать статью! Приходится идти на компромиссы, пусть кот играет со мной, а я пока полежу с закрытыми глазами и подумаю о чем буду писать. 
Что происходит в твоей профессиональной жизни? Воспитание диктует мне спросить у собеседника о его делах. А я не хочу показаться невежливой. Закупки, формирование бюджета, повальные отпуска и невозможность собрать комиссию так, чтобы она не состояла из одних "и.о." - что беспокоит твой ум?
Когда становится прохладнее мне в голову приходят разные философские мысли, возникают вопросы - курица или яйцо (андроид или яблоко)? Один из таких вопросов-размышлений, беспокоящий меня в последнее время - "Что было бы с бизнесом без нас, простых ИБшников?"
Дорогой читатель, я понимаю, что мысль абсурдна и ты убежден, что небеса разверзнутся в тот же час, поглотив ОАО, ЗАО, ООО (нужное подчеркнуть), в котором ты трудишься. А если нет? Что будет без нас?
Помнишь, как в школе на олимпиаде нам задавали задание - "Представьте и опишите последствия исчезновения углекислого газа/кислорода/водорода не Земле". Вот что-то подобное я и обдумывала в последнее время. Только в нашей области. Пишу свои мысли и жду ответа по этому очень важному для меня вопросу.

Во-первых я сразу выделила для себя те отрасли, в которых без нас никуда. Это ИБ-компании. Тут уж извини, предельный случай, рассматривать нечего. А еще криптография!Организации, имеющие свой удостоверяющий центр никак не смогут обойтись без специалистов. Вспомним также про лицензируемый вид деятельности, про "не менее двух образованных (обученных) сотрудников"... То-то же, с УЦ без нас тоже никуда.
Если же удостоверяющего центра нет, то все, что касается ключей электронной подписи никак не контролируется без ИБ-шника. Возникают угрозы использования чужой подписи, хищения и подделки ключа, что может привести к значительному финансовому ущербу. Вот так вот, здесь мы, получается, незаменимы.
Тебе, наверное, приходилось ознакамливаться со своей должностной инструкцией и положением об отделе. Насколько размыты формулировки и большинство из них составлено таким образом, что понять какие задачи выполняет специалист практически невозможно: "обеспечивать комплексную информационную безопасность", "настраивать средства защиты информации", "поддерживать конфиденциальность информации". Получается, что отдел по защите информации создан для того, чтобы обеспечивать информационную безопасность. Логично! А зачем? Ну мы-то с тобой понимаем, что делаем что-то ОЧЕНЬ важное, но этого мало, нужно еще до других донести. 
Возьмем функцию аудита, вот это наше, исконное, это мы никому не отдадим, да никто и не попросит. Что же будет, если аудит не проводится? Утечки информации, материальный ущерб, потеря репутации, все компьютеры становятся ботами и шлют спам за границу, сотрудники сидят ТОЛЬКО на порно-сайтах, в онлайн-магазинах, а все служебные вопросы решаются с мейловских ящиков, эффективность труда падает, все плохо. Тут, как говорится, не поспоришь - атаки в сети ведутся постоянно и незащищенная сеть может стать легкой добычей, да и пользователи не станут соблюдать правила, если знают, что за этим никто не следит. Получается, здесь тоже все хорошо. Но с одним условием - сеть все-таки должна быть довольно большой. Маленькие компании вполне могут обойтись без нашего брата, толковый системный администратор, не чуждый философии безопасности, решит многие проблемы, а аудит вообще теряет смысл, когда все сидят в одном помещении друг у друга на виду. 
Кстати говоря, исторически функции ИБ-шников исполняли ИТ-подразделения, дыры находились и латались (может быть не все и не так тщательно, все-таки самоконтроль и внешний контроль отличаются разной степенью эффективности). Однако не стоит забывать о существенной разнице в мировоззрении специалиста по ИТ и по ИБ. Айтишник в большинстве своем хочет, чтобы все работало хорошо и быстро, а нам нужно, чтобы ресурсы были защищены, пусть даже и ценой быстродействия.
Еще одна типичная задача специалиста по ИБ - антивирусы. Никто не спорит, что антивирусное обеспечение - обязательная вещь в сети. Проблема в том, что мы здесь не являемся незаменимыми, настроить антивирус вполне может ИТ-отдел. Причем в маленьких организациях все этим и заканчивается - пароль на учетку и свежая база антивируса - вот и вся информационная безопасность, а для поддержания работы такой системы безопасник не нужен. Конечно, никто лучше нас не проследит, чтобы обновление происходило регулярно, а настройки были выставлены верно. Так что тут мы заменяемы, но с небольшой потерей в качестве оказания услуг.
Конечно, без нас с тобой никак нельзя во время проверок контролирующих органов, вероятность того, что организацию захочет посетить Роскомнадзор, достаточно велика. Неспециалистам избежать предписаний и вовремя устранить нарушения будет очень трудно. 
Чуть не забыла! Без нас нельзя обойтись при защите государственной тайны. Тут уж ничего не придумать. А вот защита коммерческой тайны и персональных данных в некоторых организациях поручена юристам и кадровикам. На каком-то уровне они с этой задачей справляются.
Последнее о чем хотелось бы упомянуть - это организация доступов. Разграничение прав пользователей - основа информационной безопасности (на мой субъективный взгляд). В отсутствие ИБшника доступами занимается отдел ИТ и настраивает их на свое усмотрение. В таких сетях может происходить все, что угодно. И, скорее всего, этим чем-то будут утечки информации.

Много чего написала, вышло достаточно сумбурно, но в общем вывод один напрашивается - мы нужны. Это хорошо. А с другой стороны, некоторые функции ведь легко может выполнять ИТ-отдел, юрист, кадровик. Нам следует быть очень осторожными! Еще не так давно были те времена, когда ИБ-шников можно было по пальцам пересчитать. Так что, я думаю, нам нужно браться за все, что только можно и доказывать свою эффективность. 

А как ты думаешь, дорогой читатель, смогут ли без нас?

С уважением, Ксения

понедельник, 14 июля 2014 г.

Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных

Добрый день, дорогие читатели! Хочу поделиться с вами ссылкой на официальный перевод Конвенции о защите физических лиц. До сих пор в сети Интернет можно найти различные переводы, но нам-то с вами нужен самый что ни на есть официальный, а его можно найти в статье 419 "Собрания законодательства РФ" от 03.02.2014. В общем, держите Ссылку.

Немножко европейской живописи напоследок.
Ян Хендрик Верхайен. "Голландская деревня с фигурами людей". Источник

пятница, 11 июля 2014 г.

Персональные данные - экскурс в историю (шпаргалка)

Здравствуйте, дорогие читатели! В связи со сменой места работы немного запустила блог, буду исправляться. Сегодня пятница, не буду грузить Вас аналитическими статьями, просто поделюсь своей шпаргалкой со списком законодательства по персональным данным, я собрала в одну кучу все, что касается этой темы, отсортировала по годам и добавила комментарии - действует документ или отменен. Вот этот список:
1995
1.  Федеральный закон от 20 февраля 1995 г. № 24-ФЗ «Об информации, информатизации и защите информации» - отменен. Документ утратил силу в связи с изданием федерального закона от 27.07.2006 № 149-ФЗ.
1997
2. Указ Президента РФ от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера» - действует.
2005
3.  Указ Президента Российской Федерации от 30 мая 2005 года № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела» - действует.
4.  Федеральный закон от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» - действует.
2006
5.  Федеральный закон от 27 июля 2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» - действует.
6. Федеральный закон от 27 июля 2006 № 152-ФЗ «О персональных данных» - действует
2007
7.  Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 г. Москва «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» - отменен. Документ утратил силу в связи с изданием Постановления Правительства РФ от 01.11.2012 N 1119.
2008
8.   Приказ трех: Приказ ФСТЭК РФ, ФСБ РФ и Минкомсвязи РФ от 13 февраля 2008 г. № 55/86/20 "Об утверждении порядка проведения классификации информационых систем персональных данных» - отменен. Документ утратил силу - приказ ФСТЭК РФ N 151, ФСБ РФ N 786, Минкомсвязи РФ N 461 от 31.12.2013.
9.  Четверокнижие: Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных - отменен. Документ утратил силу в связи с изданием изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58.
10. Четверокнижие: Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных -  - отменен. Документ утратил силу в связи с изданием изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58.
11. Четверокнижие: Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных – Документ опубликован не был. Примечание: пометка «для служебного пользования» снята Решением ФСТЭК России 16 ноября 2009 г.
12. Четверокнижие: Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка) - Документ опубликован не был.
13. Постановление Правительства Российской Федерации от 15 cентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» - действует.
14.  Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утвержденные руководством 8 Центра ФСБ России 21.02.2008 № 149/54-144 – Документ опубликован не был.
15.  Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденные руководством 8 Центра ФСБ России 21.02.2008 № 149/6/6-622 - Документ опубликован не был.
16.  Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» - действует.
2010
17. Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» - отменен. Документ утратил силу в связи с изданием изданием приказа ФСТЭК России от 18 февраля 2013 г. № 21.
2011
18.  Приказ Министерства связи и массовых коммуникаций Российской Федерации от 14 ноября 2011 г. N 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства российской федерации в области персональных данных» - действует.
19.  Приказ Роскомнадзора от 19 августа 2011 г. № 706 «Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных» – документ опубликован не был.
2012
20. Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» - действует.
21.  Постановление Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных» - действует.
22. Разъяснения Роскомнадзора по вопросам, касающимся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве. 14 декабря 2012 года - действует.
2013
23.  Федеральный закон от 7 мая 2013 г. № 99-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием федерального закона «О ратификации Конвенции Совета Европы О защите физических лиц при автоматизированной обработке персональных данных» и федерального закона «О персональных данных» - действует.
24.  Приказ ФСТЭК России от 18.02.2013 N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» - действует.
25.  Приказ  Роскомнадзора от 5 сентября 2013 г. № 996 Об утверждении требований и методов по обезличиванию персональных данных» - действует.
26.  Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных» - действует.
27.  Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» - действует.
28.  Разъяснения Роскомнадзора по вопросам отнесения фото-, видеоизображений, дактилоскопических данных к биометрическим персональным данным 30 августа 2013 года - действует.
2014
29. Приказ Роскомнадзора от 14 марта 2014 г. № 37 «О внесении изменений в Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных, утвержденные приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 19 августа 2011 г. № 706» - документ опубликован не был.
30. Методический документ ФСТЭК России от 11 февраля 2014 «Меры защиты информации в государственных информационных системах» - документ опубликован не был.



Хороших всем выходных! Немножко Ренуара для настроения (уж очень его люблю):
Ренуар. Завтрак гребцов. Источник.