пятница, 29 сентября 2017 г.

Молодежная палата Роскомнадзора

Добрый вечер, дорогие читатели! Сегодня я хочу поделиться новостью с сайта Роскомнадзора. Вчера прошло заседание Молодежной палаты Консультативного совета при Уполномоченном органе по защите прав субъектов персональных данных (ссылка). Было анонсировано проведение дебатов по тематике защиты персональных данных на базе Московского государственного университета им М.В. Ломоносова и Российского государственного университета нефти и газа им. И.М. Губкина. Также на сайте указано, что обсуждался вопрос создания дискуссионных клубов на базе высших учебных заведений страны (ссылка)
Информацию о Молодежной палате Консультативного совета можно найти на сайте РКН (ссылка), положение находится здесь. Чем занимаются ребята? Ну, например, при их участии были разработаны рекомендации по составлению политики обработки персональных данных (ссылка). Возраст участников 18-30 лет. 
По этому поводу у меня две мысли - первая о том, что на вступление в их юные ряды у меня осталось где-то дней 30 (жаль), а вторая - имеет ли смысл создавать такие клубы? 
Как вы уже хорошо знаете, я руковожу красноярским отделением RISC и занимаюсь проведением семинаров по персональным данным, участие в которых принимают в основном студенты и молодые специалисты. Мы стараемся привлекать в качестве докладчиков людей взрослых, занимающих руководящие должности. На мой взгляд, именно такая дискуссия молодости и опыта имеет смысл. 
Мне кажется, что дебаты, которые проводят студенты для студентов очень поверхностны. Что можно обсуждать на таких собраниях? Идеи, мнения. Это очень здорово, но зачастую не имеет никакого отношения к реальной жизни. Все кто занимается защитой персональных данных на практике знают типовые проблемы и спорные вопросы. Это биометрия, моделирование угроз, судебная практика, данные о здоровье и т.д. Для дискутирования на эти темы недостаточно прочитать несколько нормативных актов, нужно также знать об ограниченности бюджета, времени, персонала и целесообразности выполнения тех или иных мероприятий. Молодого человека в 18-20 лет вопросы экономии денег оператора волнуют мало, это можно увидеть в экономическом обосновании дипломных работ.
В то же время если собирать людей, занятых исключительно практической деятельностью, дискуссия будет неполноценной. Мы получим простое перечисление проблем. Нужен свежий взгляд, который можно получить от молодежи. Лично я за баланс, а как считаете вы?
А.М. Герасимов. После дождя. Источник
https://vk.com/kshudrova - присоединяйтесь к клубу ВК! Здесь я размещаю свежие новости из мира ИБ, интересные посты других авторов и отвечаю на вопросы.

вторник, 19 сентября 2017 г.

Судебная практика в информационной безопасности

Добрый вечер, дорогие читатели! Вышел в свет Журнал IT-Manager: № 08/2017. Получить электронную версию можно бесплатно. Моя статья в номере доступна по ссылке - Судебная практика в информационной безопасности. Приятного чтения!

ЗЫ. В октябрьском номере вас ожидает статья про проверки Роскомнадзора.

Покидова Галина. Рябина. Источник


https://vk.com/kshudrova - подписывайтесь на официальную группу блога ВК.

пятница, 8 сентября 2017 г.

Оффтоп. RSS блога - как решить проблему с feedburner

Добрый день, дорогие читатели! Вчера совершенно случайно обнаружила, что не работают зеркала блога на Securitylab и Bis-expert. И все это продолжается с июня. Выяснилось, что возникла ошибка на моей стороне - был переполнен файл фида (более 1024Кб). За 6 с лишним лет ведения блога предел-таки был достигнут :) Как решить эту проблему было непонятно, так как feedburner просто предлагал обратиться на технические форумы. Я нашла следующее решение - не загружать весь архив блога в файл фида, а ограничиться последними 15ю публикациями (значение выбиралось методом тыка - 20 уже не пролазило, 3 - было маловато и т.д.). Для того, чтобы показывались последние 15 постов, нужно заполнить значение Original Feed следующим образом:

http://shudrova.blogspot.com/feeds/posts/default?max-results=15


Минусом моих экспериментов стала замена файла фида (как одна из проб найти решение), а, следовательно, потеря всех подписчиков RSS, но это дело наживное :)

ЗЫ. Если вы следили за моим блогом по зеркалам, то наверняка пропустили вот эти посты:

Приятного чтения!

https://vk.com/kshudrova - ссылки на свежие посты, новости мира ИБ и интересные статьи других авторов. Подписывайтесь!

среда, 6 сентября 2017 г.

Вопросы читателей по ПДн

Добрый день, дорогие читатели! Мне приходит множество интересных вопросов на тему защиты информации, а особенно - персональных данных. Ответы на некоторые из них являются достаточно универсальными. Сегодня представляю вашему вниманию пять вопросов с моими ответами на них. 

Вопрос  1
Подскажите минимальный комплект документов которые необходимы при обработке ПДн физ лицом (ИП).
Ответ
Из Фейсбука Алексея Лукацкого шаблоны документов по персональным данным. Аж 318 страниц! Автора, к сожалению, идентифицировать не могу.

Вопрос 2
Спасибо, что опубликовали свою презентацию с Paymentsecurity. Не могли бы вы ответить на те вопросы которые обозначили в конце презентации. 
1. Насчет цели обработки ПДн родственников работников. Правильно ли я понимаю что это - соблюдение требований трудового законодательства? На Ваш взгляд, обязательно ли выделять родственников работников в отдельную категорию субъектов? 
2. Интересно Ваше мнение по вопросу легализации обработки ПДн родственников заемщиков банков, которые они указывают в своих анкетах без взятия согласия. Единственное что приходит в голову это поручение заемщиком обработки ПДн своих родственников согласно ч.3 ст.6 ФЗ-152. Соответственно обязанность брать согласие в таком случае лежит на заемщике. Как к этому относится Роскомнадзор?

3. Если информация о судимости работника представляет собой только сведения о наличии или отсутствии судимости, без указания статьи УК, являются ли данные сведения персональными данными?

Ответ
1. Родственников нужно стараться не выделять отдельно, лучше попробовать обозначить их через привязку к субьекту. Например, назвать - информация о семье. 
2. По родственникам заемщиков сложная ситуация. Первое, что приходит в голову - обрабатывать вне информационной системы, на бумаге, но на деле это будет реализовать сложно или даже невозможно. РКН считает такую обработку без согласия нарушением. Также обратите внимание на п. 3, ст. 18:

Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные настоящим Федеральным законом права субъекта персональных данных;
5) источник получения персональных данных.

3. Думаю, являются. Можно посмотреть комментарий РКН, который в виде книги, там должно быть про судимость (Научно-практический комментарий Роскомнадзора к закону «О персональных данных»).

Вопрос 3
Здравствуйте Ксения. Я пишу работу по социальной инженерии, не могли бы вы подсказать где можно наткнуться на статьи по новым тенденциям в этом направлении?
Ответ
Добрый вечер! Могу порекомендовать вот эти материалы: Социальная инженерия: сущность и парадигмальная методологияСоциальнаяинженерия как дисциплинарно-организованное знание. Также оставлю ссылку на свою статью на эту тему.

Вопрос 4
Вопрос по ИСПДн. Допустим создана информационная система в которой будут обрабатываться ПДн. Можно ли на ней обрабатывать ПДн, если не проводились мероприятия по защите информации (даже не определен тип угроз и уровень защищенности)? И какие могут быть наказания за это? Спасибо.
Ответ
Согласно статье 19 оператор обязан принимать меры для защиты ПДн при обработке - с самого начала такой обработки. Если посмотреть статью 22 про уведомление, то там написано, что уведомление подаётся до начала обработки и в нем указываются принятые меры защиты. Штрафы по статье 13.11 КоАП, с 1 июля повышены.

Вопрос 5
Кто и как определяет подразделения в организации, которые обрабатывают ПДн (это должно быть зафиксировано документом (актом или приказом и т.п.))?
Ответ
Подразделения определяет оператор, закон здесь ничего нам не говорит. Ст. 18.1 п. 6 говорит о том, что нужно проводить ознакомление работников, осуществляющих обработку, значит такой круг лиц должен быть закреплен документом.

Андреев Александр. Сентябрь. Источник

Группа ВК: 
https://vk.com/kshudrova - подписывайтесь на официальную страницу блога!