понедельник, 26 октября 2015 г.

Вопрос читателя. Информация ограниченного доступа

Здравствуйте, дорогие читатели! Сегодня я хочу предложить Вашему вниманию два письма читателя Сергея Симонова об определении информации ограниченного доступа.
 
Добрый день. Озадачился я недавно вопросом что такое ИОД (информация ограниченного доступа). В ГИС помимо ПДн есть и коммерческая тайна, и служебная информация… да мало ли что ещё есть… НО! Требования по защите проработаны только для ПДн. Для служебной тайны вообще нет своего закона, хотя о нем говорят с 2004 года. Вот ФСТЭК и озаботился защитой всего (в том числе и ПДн) в ГИС запихав в понятие ИОД все виды конфиденциальной информации по УП №188. (абстрактно запихал) Однако, формулировки что такое ИОД я не нашёл. Так что же такое ИОД? В своих поисках выявил огромное количество формулировок: сообщения ограниченного доступа, служебные сведениями ограниченного распространения, сведения ограниченного доступа… Нашел ли я ответ? Думаю что да. Взгляните, может будет интересно. Возможно я упустил что-то. Что-то лежавшее на поверхности.
Поискав ещё немного обнаружил любопытное толкование ИОД на сайте http://www.wikisec.ru/
3. В составе информации ограниченного доступа различают сведения, составляющие государственную тайну, и конфиденциальную информацию. Информации ограниченного доступа подразделяется на секретную и конфиденциальную.

Также Сергей прислал майнд-карту: ссылка (не обращайте внимание, если браузер ругается, это не вирус :))
 
2 письмо
Обсудил с коллегами свою схему. Принял критику. Судя по моей схеме в ГИС обрабатывается только ПДн, служебная информация ограниченного распространения, Комм.Т. Но это не так. Так же присутствует общедоступная информация (скажем, о деятельности организации публикуемая в виде отчетов на офф сайте) и согласно ФЗ-149 ст.8. п.4. «Не может быть ограничен доступ к: 3) информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну)».
Согласно тому же 149 ФЗ ст5. п2. «Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа)».
Вот и получается что доступ к ПДн/КоммТ ограничен ФЗ-152/ ФЗ- 98.
Однако не понятно, что делать со служебной информацией ограниченного распространения. Отдельного ФЗ по ней нет. Однако несть целая россыпи приказов ФСТЭК\ФСБ по необходимости её защиты. Но это приказы и методические рекомендации, а не федеральные законы. Получается что служебная информация ограниченного распространения это не ИОД?
Но согласно 149-ФЗ ст.9, п.4. конфиденциальность служебной информация соблюдать надо.
 
В качестве своего комментария могу сказать, что ситуация со служебной тайной действительно неоднозначная. Несмотря на то, что данную пометку повсеместно используют, на уровне законов требования защиты не закреплены. Как мы знаем, термин "конфиденциальная информация" хоть и часто встречается в жизни, но в законодательстве определены "сведения конфиденциального характера". Неоднозначность понятийного аппарата в информационной безопасности приводит к различным спорам и вызывает недопонимание специалистами друг друга.
 

среда, 14 октября 2015 г.

17 мгновений законодательства

Добрый день, дорогие читатели! До сих пор продолжаю разбирать свои заметки, сегодня на глаза попался доклад с Код ИБ :) В процессе подготовки к выступлениям, я выделила наиболее интересные документы в области персональных данных за последнее время, думаю, что этот список может оказаться Вам полезным.
Федеральные законы:
1. Федеральный закон от 21.07.2014 N 242-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях";
2. Федеральный закон Российской Федерации от 13 июля 2015 г. N 264-ФЗ "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и статьи 29 и 402 Гражданского процессуального кодекса Российской Федерации" (право забвения);
3. Федеральный закон от 29 июня 2015 г. N 193-ФЗ "О внесении изменений в статью 183 Уголовного кодекса Российской Федерации".
Постановления Правительства:
4. Постановление Правительства РФ от 06.07.2015 N 676 "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации";
5. Постановление Правительства РФ от 19.08.2015 N 857 "Об автоматизированной информационной системе "Реестр нарушителей прав субъектов персональных данных" (вместе с "Правилами создания, формирования и ведения автоматизированной информационной системы "Реестр нарушителей прав субъектов персональных данных").
Приказы Роскомнадзора:
6. Приказ Роскомнадзора от 22.07.2015 N 85 "Об утверждении формы заявления субъекта персональных данных о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства РФ в области персональных данных";
7. Приказ Роскомнадзора от 22.07.2015 N 84 "Об утверждении Порядка взаимодействия оператора реестра нарушителей прав субъектов персональных данных с провайдером хостинга и Порядка получения доступа к информации, содержащейся в реестре нарушителей прав субъектов персональных данных, оператором связи" (Зарегистрировано в Минюсте России 14.08.2015 N 38532).
Инициативы ФСТЭК и ФСБ:
8. ФСБ Методические рекомендации по разработке НПА, определяющих угрозы безопасности ПДн, актуальные при обработке ПДн в ИСПДн, эксплуатируемых при осуществлении соответствующих видов деятельности 31.03.2015 149/7/2/6-432;
9. Банк данных угроз безопасности информации (Информационное сообщение о банке данных угроз безопасности информации от 6 марта 2015 г. N 240/22/879).
Другое:
11.  Комиксы про Роскомнадзор;
 Проекты:
13. Методика определения угроз безопасности информации в информационных системах.
14. Проект Постановления Правительства РФ «Об утверждении Положения о государственном контроле и надзоре за соответствием обработки ПДн требованиям законодательства Российской Федерации».
15. О внесении изменений в Кодекс Российской Федерации об административных правонарушениях (в части уточнения положений, устанавливающих ответственность за нарушение законодательства о персональных данных).
16. Проект отраслевой модели угроз безопасности персональным данных от Банка России.
17. Проект Новая редакция доктрины информационной безопасности.
И, напоследок, картинка от Роскомнадзора, который сегодня празднует год в соцсетях.
 
Страница ВК: http://vk.com/kshudrova - свежие посты блога и интересные материалы других авторов.

вторник, 6 октября 2015 г.

Вопрос читателя. Передача персональных данных в военкомат

Добрый вечер, дорогие читатели! Сегодня хочу поднять тему передачи персональных данных в военкомат. Представляю Вашему вниманию вопрос читатели и мой ответ на него.
 
Вопрос:
Добрый день, Ксения! Военкомат, ссылаясь на закон о воинской обязанности, п1.ст4. по-моему (организации обязаны предоставлять сведения на призывников необходимые для деятельности военкомата по призыву) запрашивает то одни, то другие ПДН в нужном им формате, зачастую даже не имеющиеся в делах без дополнительного сбора информации. Закон от 98 года, указанная статья в последующих редакциях изменений не претерпела, где то защищаем, требуем согласия, даже в милицию по мотивированному запросу только, а тут вынь да положь, и вроде как законно, но....как говорится меня терзают смутные сомнения, задал вопрос на форум ПДН, но ни одного ответа, написал письмо в РКН, но ждать месяц ответа. Очень бы хотелось услышать Ваше мнение по данному вопросу.
 
Ответ:
Здравствуйте! Пункт 2 статьи 6 Федерального закона № 152-ФЗ "О персональных данных" подразумевает обработку персональных данных без согласия в случае осуществления и выполнения оператором, возложенных на него функций и обязанностей. Обрабатывать данные воинского учета нужно по Федеральному закону № 53-ФЗ "О воинской обязанности и военной службе", как Вы и указали. Передача данных - частный случай обработки, значит передавать можно. К тому же, согласно статьи 7 ФЗ № 152 операторы не должны передавать данные, если иное не предусмотрено законом. А законом, как мы уже выяснили, предусмотрено данные передавать. Мое мнение - все законно.
 
А как считаете Вы?
 
Страница ВК: http://vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов.

четверг, 1 октября 2015 г.

Всероссийский кейс-чемпионат по информационной безопасности

Добрый вечер, дорогие читатели! На мой взгляд, знаний, полученных в ВУЗе все-таки недостаточно, чтобы стать полноценным специалистом, раньше приходилось "добирать" чтением книг, журналов и подработкой, а теперь у современных студентов появилась возможность участвовать в практических конференциях и соревнованиях (тот же CTF, к примеру).
Сегодня открывается регистрация на всероссийский кейс-чемпионат по информационной безопасности от сообщества RISC.
Всероссийский кейс-чемпионат по информационной безопасности — единственное в своём роде мероприятие, которое собирает в одном месте лучших cтудентов, интересующихся организационной составляющей информационной безопасности и практикующих специалистов, настоящих CISO (Chief information security officer). Командные соревнования, которые позволяют в короткие сроки отработать практические навыки. Никакой теории, только реальные ситуации!
Информацию о мероприятии можно найти здесь, зарегистрироваться здесь. Участвовать могут студенты второго курса и выше, магистранты и аспиранты специальностей по информационной безопасности, конкурс командный (по 4 человека). Первый этап заочный, финал 28 ноября в Санкт-Петербурге. Чтобы примерно представлять, какие будут задания, можно ознакомиться с прошлогодними. В числе организаторов известные личности в сфере ИБ: Мария Сидорова и Евгений Родыгин. Вот кратко и все, от себя могу добавить - если есть возможность, примите участие, мероприятие того стоит!

Страница ВК: http://vk.com/kshudrova - ссылки на свежие посты и новые материалы других авторов.