понедельник, 6 июля 2020 г.

Судебная практика. Персональные данные. Медицина


Добрый день, коллеги! Знаю, что многим неудобно вытаскивать информацию из видеозаписи вебинара, поэтому прилагаю выборку судебной практики в текстовом формате.
Источник: https://sudrf.ru/.

Дело 1
Кратко: ФГУП «Аптека №…» ФМБА России не представило в Енисейское управление Роскомнадзора уведомление об обработке персональных данных, поскольку предприятие фактически уже не осуществляло свою деятельность и принимались меры к его ликвидации.
Доводы суда: ФГУП осуществляет розничную торговлю лекарственными средствами в аптеках, осуществляет обработку персональных данных (фамилия, имя, отчество, адрес) субъектов персональных данных (клиентов), а также сотрудников (их родственников), при оформлении трудовых отношений, учредителей общества. Следовательно, ФГУП «Аптека №…» является оператором персональных данных.
Результат: штраф 3000 рублей.

Дело 2
Кратко: Пациент подделал лист нетрудоспособности, чтобы оправдать свой прогул перед работодателем.
Доводы суда: В журнале не было записи о регистрации больничного листа. Процедура выдачи больничного: пациент приносит паспорт и требование от врача, медрегистратор берет паспорт, журнал, заполняет корешок, печатает листок, пациент расписывается в получении листка, забирает паспорт, листок нетрудоспособности с печатью учреждения, который несет врачу. Выдача листка нетрудоспособности без требования врача и паспорта пациента невозможна, поскольку медрегистратор сверяет фамилию, имя, отчество с паспортом и требованием врача.
Результат: штраф пациенту 30000 рублей.

Дело 3
Кратко: Управлением Роскомнадзора по Вологодской области при проведении проверки в «Вологодской детской городской поликлинике №» были выявлены нарушения установ­ленного законом порядка сбора, хранения, использования, распространения персональных данных. материалы проверки были переданы в прокуратуру. В поликлинике обрабатываются персональные данные следующих категорий субъектов: работников, пациентов (законных представителей) и контрагентов.
Доводы суда:
                  форма согласия на обработку персональных данных работников для размещения на доске почета и форма согласия на обработку персональных данных работников на перевод их персональных данных в категорию общедоступных содержат неполные сведения;
                  информирование лиц, допущенных к обработке персональных данных о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки не осуществляется.
Результат: предупреждение.

Дело 4
Кратко: заместителю главного врача поступил адвокатский запрос о предоставлении сведений о том, состоит ли на учете у врача-кардиолога несовершеннолетний X. Так как был предоставлен ордер о предоставлении интересов в органах гос. власти, гос. учреждениях и организациях, на основании указанных документов, она получила сведения у врача-кардиолога и предоставила ответ на адвокатский запрос с указанием диагноза.
Доводы суда: Согласно ст. 13 Федерального закона N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» с письменного согласия гражданина или его законного представителя допускается разглашение сведений, составляющих врачебную тайну, другим гражданам, в том числе должностным лицам, в целях медицинского обследования и лечения пациента, проведения научных исследований, их опубликования в научных изданиях, использования в учебном процессе и в иных целях. Согласие получено не было.
Результат: штраф 500 рублей.

Дело 5
Кратко: X были оказаны медицинские услуги в «Областном лечебно-реабилитационном центре» но основании договора возмездного оказания услуг. Затем Х обратилась к ответчику с заявлением об отзыве своего согласия на обработку персональных данных. В прекращении обработки персональных данных X было отказано, в связи с тем, что срок хранения медицинской документации, содержащей, в том числе персональные данные, не истек.
Доводы суда: Медицинская карта стационарного больного является основным первичным медицинским документом больного, проходящего лечение, и заполняется на каждого пациента при обращении за медицинской помощью в лечебное учреждение. Сведения, содержащиеся в медицинской карте, необходимы для составления отчетности по всем видам и формам, которые установлены для медицинских организаций и которую они обязаны предоставлять в сроки и в объеме, определенные уполномоченным федеральным органом исполнительной власти. В этих целях медицинские организации обязаны обеспечивать ведение, учет и хранение медицинской документации, сроки хранения первичной медицинской документации, в частности медицинской карты, учреждений здравоохранения составляет 25 лет (письмо Минздрава России от 07.12.2015 года № 13-2/1538 «О сроках хранения медицинской документации»).
Результат: жалоба оставлена без удовлетворения.

Дело 6
Кратко: В МБУЗ были выявлены поддельные записи о диспансеризации.
Доводы суда: Гражданин дает согласие на обработку и использование персональных данных пациента. На пациента заводится медицинская карта амбулаторного больного, куда вклеиваются согласие гражданина на медицинское вмешательство и на обработку персональных данных. Результаты осмотров врачами и исследований, проведенных во время диспансеризации, вносятся врачом или участковой медсестрой в медицинскую карту амбулаторного больного. На основе сведений о прохождении гражданином диспансеризации медицинским работником - врачом заполняется «Карта учета диспансеризации (профилактических медицинских осмотров)». После оформления карт учета диспансеризации 1 и 2 этапов врач направляет карту учета диспансеризации в отделение статистики, где оператор вносит информацию из карты учета диспансеризации в программу. В конце каждого месяца формируется сводный файл со всеми оконченными случаями диспансеризации. Данная информация направляется в ТФОМС для оплаты. После этого ТФОМС переводит опосредованно через страховые компании денежные средства на счет МБУЗ.
Результат: штраф 30000 рублей.

Винсент Ван Гог. Урожай. Источник


По вопросам сотрудничества и приобретения моих книг (электронных):
Вконтакте: https://vk.com/shudrova
telegram: @KseniaShudrova
instagram: @boyarinya_marshmelova 

понедельник, 15 июня 2020 г.

Персональные данные в медицине. Межблогерский вебинар

Коллеги, добрый вечер! Завтра в 15:00 по московскому времени пройдет 7-й Межблогерский вебинар на тему "Персональные данные в медицине". Спикеров будет четверо:
  • Сергей Борисов, УЦСБ
  • Ксения Шудрова, RISC
  • Мария Пономарева, ГК "Аудиторы корпоративной безопасности"
  • Максим Марченко, Минздрав Краснодарского края
Также за помощь в подготовке спасибо Дмитрию Семененко!

Ссылка на регистрацию

RISC в очередной раз предоставляет приз за самый интересный вопрос, который мы разыграем среди слушателей. 

Знаете, когда приближается вебинар, я жду его как праздника. Готовлюсь несколько дней, а в день мероприятия уже сосредоточена только на ожидании. Так как живу в Красноярске (точнее рядом с ним), то это всегда вечер, а иногда уже и ночь. Вечер, комната, ноутбук, стакан воды. Вроде бы сидишь один, а тебя слышат десятки, иногда сотни специалистов буквально из всех уголков нашей большой страны. В чат пишут из Иркутска, из Саранска, из Москвы, из Санкт-Петербурга. Вопросы, вопросы, за каждым целая история, практический опыт, насущная проблема. Слушатели дополняют наши доклады, делятся опытом. Может быть вы смотрели фильм "Рок-волна"? Вот такие чувства я испытываю. 

Под каждую тему мы ищем гостя, которому есть что сказать. У нас уже побывали: Андрей Мозговой, Алексей Мунтян, Павел Коростелев - это настоящие профессионалы своего дела. Большое спасибо им за то, что нашли время на подготовку и участие в наших вебинарах. Как здорово, что на энтузиазме можно сделать качественное мероприятие!

А сколько мы получаем слов благодарности после вебинаров! Очень приятно быть полезными! Я очень благодарна всем нашим слушателям за интерес к проекту. Все, что мы с Сергеем Борисовым делаем на межблогерском вебинаре - добровольно, бесплатно, субъективно и основано на личном опыте. Мне кажется, такие мероприятия нужны сообществу. Еще раз спасибо! Всех ждем завтра!



И у нас появился информационный партнер (в телеграм - @ohmyeventbot):

По вопросам сотрудничества и приобретения моих книг (электронных):
Вконтакте: https://vk.com/shudrova
telegram: @KseniaShudrova
instagram: @boyarinya_marshmelova 

среда, 10 июня 2020 г.

Судебная практика. Персональные данные. СКЗИ


В г. Йошкар-Ола, 2016 г. директор ООО «<...>» привлечена к административной ответственности по ч. 1 статьи 13.13 КоАП РФ, ей назначено административное наказание в виде штрафа в размере 2000 рублей.
ООО предоставляло услуги по составлению и предоставлению в налоговые и иные государственные органы деклараций по налогам и сборам с использованием системы электронного документооборота «СБиС++» и средства криптографической защиты информации «КриптоПро CSP» (версия 3.6) без лицензии.

Дело 2
В г. Казань, 2018 г. ООО Охранное агентство «» признано виновным в совершении административного правонарушения, предусмотренного ч.2 ст.13.12 КоАП РФ, и ему назначено наказание в виде административного штрафа в размере ? рублей.
Программное обеспечение «КриптоПро», установленное на ПЭВМ, имеет просроченный сертификат ФСБ России, а антивирусное средство не входит в список средств защиты и информации, разрешенных ФСБ России.

Дело 3
В г. Краснодаре в 2019 г. госжилинспекция признана НЕвиновной в совершении административного правонарушения, предусмотренного ч. 6 ст. 13.12 КоАП РФ.
  • Не установлен уровень защищенности персональных данных в ИСПДн;
  • Не определены угрозы безопасности персональных данных при их обработке в ИСПДн;
  • Не утверждены правила доступа в спецпомещения в рабочее и нерабочее время, а также в нештатных ситуациях;
  • Не утвержден перечень лиц, имеющих право доступа в спецпомещения.


Дело 4
В г. Сургут юрисконсульт признана НЕвиновной в совершении административного правонарушения, предусмотренном ч.6 ст. 13.12 КоАП РФ.
Данные юрисконсульта вписаны карандашом в план мероприятий и состав комиссии, что нельзя признать правомерным, поскольку с данными документами она не ознакомлена, изменения в состав комиссии и в план мероприятий официально не вносились.

Дело 5
В г. Владивосток в 2018 г. главный специалист сектора информационной безопасности университета признана НЕвиновной в совершении административного правонарушения, предусмотренном ч.6 ст. 13.12 КоАП РФ.
  • Главный специалист был назначен ответственным за организацию обработки персональных данных приказом до официального введения в действие СЭД, которая в этот период могла являться лишь базой данных, но не средством официального централизованного доведения документов.
  • Главный специалист не подчиняется напрямую ректору.


Дело 6
В г. Смоленске в 2017 г. признан виновным в совершении административного правонарушения, предусмотренного ч.6 ст. 13.12 КоАП РФ, и ему назначено административное наказание в виде административного штрафа в размере ? руб.
Обмен персональными данными при их обработке в информационной системе осуществлялся без применения средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства в области обеспечения безопасности информации.

Дело 7
  • В г. Владикавказ в 2017 г. директор филиала УФПС должностное лицо был признан виновным в совершении административного правонарушения, предусмотренного ч. 6 ст. 13.12 КоАП РФ с назначением административного наказания в виде штрафа в размере ?.
  • Не аттестована ГИС.
Моне. Завтрак на траве. Источник



По вопросам сотрудничества и приобретения моих книг (электронных):
Вконтакте: https://vk.com/shudrova
telegram: @KseniaShudrova
instagram: @boyarinya_marshmelova 

понедельник, 8 июня 2020 г.

Судебная практика. Уничтожение и удаление ПДн


Добрый день, коллеги! У меня накопилось довольно много интересных примеров судебной практики, которые были собраны при написании статей и подготовке к вебинарам. Знаю, что не всем удобно искать информацию в видеозаписи, поэтому начинаю публиковать краткое содержание интересных судебных решений. Все решения взяты из  ГАС "Правосудие" .


Московская область
Кратко: ФИО1 обратился в суд с иском к ООО «УК …» о возложении обязанности по удалению персональных данных, прекращении обработки распространения, персональных данных, уничтожения персональных данных из документов и архивов компании.
Доводы суда: от истца поступило ходатайство об отказе от требований в связи с тем, что основные требования исполнены ответчиком, - удалены все статьи с сайта ответчика, упоминающие и порочащие его имя.
Результат: производство по делу прекращено.

Иркутск
Кратко: ФИО1 обратился в суд с иском к УГИБДД ГУ МВД России по Иркутской области о признании незаконным решения, выразившегося в отказе удалить из электронных баз данных Федеральной информационной системы ГИБДД сведения о совершении административных правонарушений.
Доводы суда: подразделения ГИБДД МВД Российской Федерации, в соответствии со ст. 9 Федерального закона № 196-ФЗ «О безопасности дорожного движения» и Постановлением Правительства РФ № 508 «О порядке государственного учета показателей состояния безопасности дорожного движения» ведут постоянный государственный учет показателей состояния безопасности дорожного движения по количеству нарушителей правил дорожного движения, административных правонарушений и преступлений против безопасности дорожного движения.
Истечения срока, хранения административных материалов, а также срока, в течение которого лицо считается подвергнутым административному наказанию, не является основанием для исключения сведений в отношении административного истца из электронных баз данных Федеральной информационной системы ГИБДД.
Решение: отказать в удовлетворении требований.

Свердловская область
Кратко: ФИО1 обратился в суд с исковым заявлением к ООО МФК «…» о защите прав субъекта персональных данных, о признании действий по передаче задолженности неправомерными, признании кредитного договора недействительным, обязании отозвать задолженность, удалить информацию как о недобросовестном заемщике, взыскании компенсации морального вреда.
Представитель ООО МФК «…» сообщила ФИО1, что указанная задолженность образовалась в результате дистанционного оформления договора займа по интернету неустановленным лицом, предоставившим данные его паспорта.
Мировое соглашение:
Ответчик отказывается от предъявления к истцу каких-либо требований и вносит в кредитную историю изменения, а также производит компенсационную выплату в размере 10 000 рублей.

Москва
Кратко: ФИО1 обратилась в суд с иском к ответчикам ГБОУ школа №, Роскомнадзору о признании незаконной передачи персональных данных, обязании удалить персональные данные, обязать устранить нарушения закона.
Директор ГБОУ школа № после увольнения истца внесла запись в персональные данные истца «не рекомендовано к принятию на работу», которые находятся в электронном архиве в сервере «облачные кадры», созданном Департаментом образования. При устройстве на новую работу, истцу стало известно, что работодатели отказывают ей в приеме на работу по причине наличия данной записи в сервере.
Доводы суда: в графе "Рекомендации" в системе "АС Облачные кадры" сотрудник отдела кадров по указанию директора образовательной организации вправе заполнить поле "Рекомендации" значением "Да" для рекомендации увольняющегося сотрудника другим работодателям, или выбрать значение "Нет" при прочих обстоятельствах, в том числе об отсутствии рекомендаций в отношении работника от работодателя. Доказательств, свидетельствующих о том, что данная отметка является отрицательным отзывом о работе истца и влечет нарушение ее трудовых прав, в материалах дела не имеется.
Решение: в исковых требованиях отказано.

Салехард
Кратко: ФИО1 обратился в суд с иском к Арбитражному суду Ямало-Ненецкого автономного округа о признании действий работников Арбитражного суда в части размещения в сети Интернет на сайте kad.arbit.ru судебных актов, содержащих персональные данные, незаконными, о возложении обязанности удалить из сети Интернет сведения о персональных данных и гарантировать не использование персональных данных без получения его письменного согласия.
В определениях опубликованы его персональные данные: фамилия, имя, отчество и сведения о его доходах по основному месту работы. Считает, что своими действиями работники арбитражного суда ЯНАО подвергают его жизнь и жизнь его близких опасности, так как сведениями, имеющимися в свободном доступе могут воспользоваться криминальные структуры, и он может быть подвергнут преступному посягательству, в связи с чем вынужден проживать не по месту регистрации.
Доводы суда: поскольку административный истец не является участником судебного разбирательства, содержание в размещенных в сети Интернет судебных актах сведений о его персональных данных нарушают его права, а потому подлежат изъятию.
Решение: удалить из сети Интернет сведения о персональных данных административного истца и гарантировать не использование персональных данных административного истца без получения его письменного согласия, удовлетворить.

Тыва
Кратко: ФИО1 обратился в суд с иском к ООО «(социальная сеть)» о возложении обязанности удалить персональные данные, содержащиеся на интернет-сайтах, запрещении обработки персональных данных, компенсации морального вреда.
Размещены следующие персональные данные истца и его ребенка: 1) фамилия, имя, отчество истца; 2) фамилия, имя, отчество ребенка истца, дата рождения ребенка истца; 3) фотографии с изображением ребенка истца; 4) фотографии с изображением истца. При этом, истец не давал согласия (ни письменного, ни устного) на обработку, включая распространение, персональных данных истца и ребенка истца.
Доводы суда: ООО «(социальная сеть)» осуществляет обработку только таких персональных данных, которые сам пользователь добровольно предоставляет администрации сайта о себе при регистрации на сайте в рамках взаимодействия между пользователем и администрацией, не осуществляет обработку персональных данных в составе информации, размещенной пользователями сайта на своих персональных страницах, страницах сообществ, не осуществляет модерацию пользовательского
контента, что подтверждается Правилами пользования Сайтом социальной сети.
Решение: обязать ответчика удалить персональные данные.

Ростов-на-Дону
Кратко: ФИО1 обратился в суд с исковым заявлением к Ассоциации «Банкротств…», Коллегия Адвокатов Удмуртии об обязании удалить информацию в сети Интернет, взыскании компенсации морального вреда.
Он, набрав свою фамилию, имя и отчество в сети Интернет, обнаружил, что 26.11.2015г. на странице сайта «Яндекс», Ассоциацией «Банкротств…», Коллегия Адвокатов Удмуртии размещена информация, касающаяся его и деятельности его ранее учрежденной и возглавляемой им организации ООО «…». Разрешение на размещение указанной информации в сети Интернет, он и его организация ООО «…» не давали. Размещенные сведения порочат его деловую репутацию, а также негативно сказываются на его профессиональной деятельности. В январе 2018г. он пытался устроиться на работу юрисконсультом, однако ему было отказано в трудоустройстве.
Доводы суда: На указанном публичном Интернет - ресурсе были без соответствующего согласия размещены персональные данные истца, а именно: фамилия, имя, отчество истца, которые с учетом иных размещенных данных, позволяют отнести размещенную информацию именно к истцу. 
При обращении истца к ответчику с требованием удалить его персональные данные, в нарушение ст. 21 ФЗ "О персональных данных", ответчиком это сделано не было, в связи с чем, суд приходит к выводу о признании действий ответчика по распространению и разглашению персональных данных истца, включающих в себя фамилию, имя, отчество, незаконными, нарушающими права на обеспечение конфиденциальности собираемых и обрабатываемых персональных данных.
Решение: информацию с сайта удалить, ответчику возместить моральный вред – 5000 рублей, государственная пошлина – 600 рублей.


Ренуар. Лодка на Сене. Источник

По вопросам сотрудничества и приобретения моих книг:
Вконтакте: https://vk.com/shudrova
telegram: @KseniaShudrova
instagram: @boyarinya_marshmelova 
Книга электронная! Стоимость - 100 р.


четверг, 7 мая 2020 г.

ЧЕК-ЛИСТ: Создаем систему защиты персональных данных с нуля

Добрый день, коллеги! Единожды став на путь коммерции, сойти с него уже не получится. Вот казалось бы только-только вышла 2я книга, а нет, прошло уже полгода, держите третью. Но "третья" не совсем книга, а методичка, как сейчас модно говорить: чек-лист. В общем, вчера была большая книга по 200 рублей, а сегодня маленькая по 100. Очень выгодно. 

Что есть в чек-листе?
 Чего нет?

  • В чек-листе нет конкретных предложений по защите вашей информационной системы. Максимально универсальная методичка для всех. Потому что жизнь идет, требования меняются, места работы меняются, а универсальную методичку купил один раз и на всю жизнь... Нет, конечно, это шутка. Но надолго точно хватит, мой чек-лист не про конкретные требования, а про подход. 
Кому нужен чек-лист?


  • Если вы работаете с персональными данными недавно и хотите знать, как организовать свою работу. Мой опыт: 11 лет работы по защите ПДн, профильное образование, степень кандидата наук, опыт преподавания по теме, 60 статей, 2 книги.
  • Если вы проводите обучение по защите персональных данных. Материала вам хватит на одну полноценную лекцию, если раскроете вопросы подробно, то легко составите курс.
  • Если вы работаете с персональными данными и хотите узнать еще одну точку зрения. А в теме защиты персональных данных таких есть где разгуляться.
  • Если вы пишете диплом по персональным данным. Тема широкая, надо на что-то опереться.
  • Если вы уже прочитали 2ю мою книгу "Персональные данные: как перестать беспокоиться и начать защищать?", уже перестали беспокоиться, но еще не поняли, с чего начать защищать. Поймете!
  • В любых других благих целях.
И еще немного о процессе написания
Идея создания чек-листа пришла ко мне еще прошлой весной, в течение года я обдумывала формат - видео, звук или текст. Пришла к выводу, что нужен текст. Начала писать и поняла, что не получается создать универсальную схему. Написала книгу ответов на самые популярные вопросы "Персональные данные: как перестать беспокоиться и начать защищать?" Но мне продолжали регулярно приходить вопросы - расскажите с чего начать, какие основные шаги, что за чем идет? Снова принялась за написание чек-листа. Поставила себе ограничение - 20 листов. В итоге пришлось текст введения и приложений переводить в меньший шрифт, чтобы не вылазить за рамки. Алгоритм работы, который приведен в Приложении 1, переписывала не меньше 10 раз, меняла все что только можно местами. Сейчас я довольна тем, что получилось. Чек-лист отражает мой подход к работе по защите ПДн полностью. Цену на книгу определила просто: она должна чего-то стоить, чтобы вы нашли время ее прочитать, но цена должна быть доступной, чтобы как можно больше людей смогли ее купить. Пусть это будет цена шоколадки. Вы получите чек-лист, а я попью чай, по-моему, здорово!

Как приобрести?
Только у меня лично

Вконтакте: https://vk.com/shudrova
telegram: @KseniaShudrova
instagram: @boyarinya_marshmelova 
Книга электронная! Стоимость - 100 р.

четверг, 16 апреля 2020 г.

Методика моделирования угроз безопасности информации. Мой обзор

Добрый день, коллеги! 09 апреля на сайте ФСТЭК России появился проект "Методики моделирования угроз безопасности информации". Предыдущий проект был выпущен еще в 2015 году, но официальным нормативным документом так и не стал. А потребность в новой методике осталась. Мы долго ждали и дождались! Новый проект! Конечно, я не могу пройти мимо. Приступим к анализу, как повелось, обозревать буду в основном с позиции защиты персональных данных.

Оба документа являются частью когда-то существовавшего "четверокнижия", ранее на них была пометка "ДСП". Сейчас Методику в полном объеме можно найти в открытом доступе, базовая модель существует в открытом доступе в виде выписки, полную версию (с ПЭМИН) нужно заказывать во ФСТЭК России. 

Где применять?
Методика должна применяться в информационных системах персональных данных. В проекте 15 года применение для защиты ПДн было необязательным. Методика посвящена антропогенным угрозам, может применяться для техногенных и не подходит для стихийных бедствий (здесь все аналогично  проекту 15 года).

Преемственность. 
Остаются bdu.fstec.ru, базовые и типовые модели угроз.

Что отменяется?
  • Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры.

Как моделировать угрозы?
При разработке модели угроз должна быть определена граница процесса моделирования и зона ответственности, например, при хранении данных в облаке. Модель угроз должна быть актуальной, она изменяется вместе с информационной системой, с требованиями законодательства, с появлением новых технологий. Моделирование - это процесс. 

Кто составляет модель угроз?
Модель угроз можно составить своими силами (отдельное подразделение или ответственные лица), либо заказать модель угроз у организации, имеющей лицензию ФСТЭК России по технической защите конфиденциальной информации.

Негативные последствия реализации угроз
Негативные последствия определяются из требований законодательства и экспертным методом.

Устанавливается перечень возможных негативных последствий, информационные ресурсы и компоненты систем и сетей и виды неправомерного доступа и воздействий на них.

Про уязвимости
В модели угроз должны быть определены типы уязвимостей и недекларированных возможностей, а также варианты возможного доступа нарушителей.

Источники угроз
Описание источников угроз содержит кроме самих источников цели реализации угроз, категории и виды нарушителей и возможности каждого вида нарушителей.
Нарушители
Нарушители могут быть нескольких видов:
1. Нарушитель, обладающий базовыми возможностями (потенциалом);
2. Нарушитель, обладающий повышенными базовыми возможностями (потенциалом);
3. Нарушитель, обладающий средними возможностями (потенциалом);
4. Нарушитель, обладающий высокими возможностями (потенциалом).

Сценарии реализации угроз
Сценарий угроз представляет собой совокупность всех возможных тактик и техник, которые применяет нарушитель. При обнаружении новых угроз и сценариев рекомендуется уведомить ФСТЭК России.

Актуальность угрозы
Угроза безопасности информации является актуальной, если имеется источник угрозы, условия для реализации угрозы, существует хотя бы один сценарий ее реализации, а воздействие на информационные ресурсы или компоненты может привести к негативным последствиям.

Уровень опасности угрозы
W=d+p+s
Описание угрозы безопасности
Приложения
1. Термины и определения. 
2. Рекомендации к формированию экспертной группы. Здесь я бы отметила, что членов экспертной группы должно быть не менее 3х.
3. Краткое содержание модели угроз.

Мое мнение
1. Методика сложная, для крупных предприятий или для лицензиатов - в самый раз. Для мелких и средних не представляю как применять, а операторами персональных данных являются по факту все организации. 
2. Все хорошо структурировано, но, на мой взгляд, осилить моделирование угроз сможет только человек с определенным опытом. Непростой работы очень много, особенно в части написания сценариев.
3. Непонятно как будет оцениваться полнота модели, как определить, что все возможные сценарии рассмотрены?
4. Наличие удаленного доступа делает уровень опасности угрозы средним и выше.
5. Непонятно что делать дальше с цифровыми значениями уровней опасности угроз.  
6. Я не поняла как связаны актуальность и опасность. В определении актуальной угрозы нет указания на опасность, только на негативные последствия.
7. Непонятно как подбирать меры защиты.

А что думаете Вы?

_________

Вконтакте: https://vk.com/shudrova

среда, 8 апреля 2020 г.

Лица ИБ. Александр Гладченко


1. Добрый день, Александр! Вы очень интересный собеседник, человек с богатым жизненным и рабочим опытом, настоящее «Лицо ИБ». Я рада, что представилась возможность взять у вас интервью. Расскажите вкратце о себе, о своем опыте работы.
Родился я еще в прошлом тысячелетии ;) Закончить школу успел еще при социализме, а вот студенческие годы пришлись уже на перестройку. Работал где придется и как придется. Был шахтером, дальнобойщиком, музыкантом, но остановился на компьютерах. Сначала программирование, потом администрирование, потом и безопасность ;)

2. У вас первое образование по специальности «Маркшейдерское дело», как пришли в ИБ?
После школы я поступил в "Станкин" на специальность САПР. Где, собственно, и впервые увидел компьютеры. Они тогда были большими ;) Перфокарты, перфоленты, вот это вот все ;) После службы в Советской Армии уехал в Екатеринбург, где и пребываю по сей день. Поступил в горный институт и вот там и увидел персоналки ;) Преподаватель по информатике, видя мой интерес, пристроил меня на работу к своему знакомому в ОблСЭС. И вот, с 1990 года я с компьютерами. После окончания института 4 года проработал сисадмином и начальником отдела ИТ в разных конторах города. Потом знакомый пригласил меня в банк. Админить. Спустя некоторое время мне предложили заняться ИБ в банке. Ну я и согласился. Съездил в столицу, прошел в АРБ курсы по безопасности банковских систем и баз данных, так и пришел в ИБ... Это был 1998 год.

3. Мне кажется, один из самых важных навыков специалистов – умение состряпать информационную безопасность «из ничего». Поделитесь своим опытом работы с маленьким бюджетом: что можно сделать самостоятельно и почти бесплатно?
Я никогда не работал "с маленьким бюджетом". Я работал с бюджетом "нулевым". То есть ФОТ мне обеспечивала служба безопасности, железо закупалось службой ИТ, а там "крутись как хочешь" ;). Сделать "бесплатно" можно ВСЁ. Особенно теперь. ВАЩЕ ВСЁ. Раньше было труднее. Основных условий два - быть самому отличным технарем и иметь союзника на самом верху. Я никогда не работал на директора предприятия. Я всегда работал на собственника. Это важно. Директор решает свои задачи, в том числе личные. Собственник решает задачи всего бизнеса. Технический бэкграунд - безусловно свободное ПО. В первую голову Linux. Мне приходилось заниматься разработкой недостающих функций в linux, но это было давно, на рубеже столетий. Сейчас все есть "из коробки". Но умение программировать, знать внутренности протоколов, устройство ОС изнутри катастрофически необходимо. Жаль, что сейчас такому не учат в институтах. В начале 2000-х я искал linux-админа на свою инфраструктуру. Всего 180 серверов. Искал два года. Нашел. Тоже человека со старым образованием. Просмотрел порядка сотни кандидатов. Вот такой выхлоп ;) Поэтому я всегда говорю, что "бесплатно будет дороже" ;) Из того, что приходилось делать самому - файрволы, "dlp" (в кавычках, потому как решала исключительно нужные мне специфические вопросы), всяческое удаленное управление (через смс, емайл), мониторинговые вещи в локальной и распределенной сети. В общем, было бы желание и время - можно сделать все. Причем желание - не только твое!

4. Читатели часто спрашивают меня про работу «не в столице», я даже хэштег сделала #в_регионах_есть_иб для поиска резюме и вакансий. Как обстоят дела с работой на Урале? Легко ли в Екатеринбурге устроиться по нашей специальности?
У нас на Урале очень интересный момент с рынком работников ИБ. Есть отдельный банковский остров. Там у работников должна быть "задняя стенка черепа выстлана инструкциями ЦБ". Это скучно, денежно, представительно. Есть государственные органы. Там работают бывшие люди в погонах. Есть интеграторы. Там все новое, красивое, представительное, надо продавать. Продавец из меня, как из собачьего хвоста - сито. Собственно, поэтому я нигде из перечисленного не работаю ;) В остальном у нас пока странная ситуация. Многие хотят в качестве ИБ служивых в определенных конторах пенсионеров. Обычно с бумажным ИБ в этом случае все хорошо. А техническую сторону отдают в ИТ. То есть "кот Василий жрал то, что должен был стеречь". Я категорически против подобного подхода. В частности, из-за этого уволился с предыдущего места работы, которому отдал 13 лет ;) А вот нормальной организации ИБ у нас практически нет. Нет, есть, конечно, заводы, конторы, офисы с правильным ИБ, но в процентном соотношении с остальными их единицы. Поэтому устроиться с одной стороны просто (в бумажную ИБ), с другой стороны реально сложно ;) Вот такой вот дуализм. Плюсом сюда примешивается местечковый специалитет. Который выражается в горизонтальных отношениях собственников бизнеса, власти и специалистов. Это совершенно непонятная субстанция для скупающих оптом и в розницу региональные предприятия столичных денежных мешков. Отсюда вытекает огромное нежелание работать со столичными новыми собственниками. И я тут не одинок.

5. У вас богатый опыт работы: промышленность, автомобильный бизнес, образовательное учреждение и т.д., большое ли значение имеет специфика предприятия? ИБ везде разное?
Принципиально разницы нет. Есть нюансы. В основном связанные с "руководящим направлением". Это либо собственные разработки и КТ, либо ПДн, либо еще какая-то часть ИБ, которая в данной отрасли наиболее важна.

6. Что для вас интереснее: «бумажная безопасность» или технические меры защиты информации?
Я технарь. Я пришел в ИБ из сисадминов. Поэтому ответ очевиден. Я не люблю бумагу.

7. Как организовать эффективный внутренний аудит? Есть какие-то способы повысить свою эффективность при анализе большого объема данных?
Беда в том, что все кинулись собирать данные. БигДата, вот это вот все. Это тупик. ИБшник, обложенный данными, становится похожим на бухгалтера. Собирать надо отношения. ;) Когда у тебя есть неформальные отношения внутри коллектива, тебе не надо данных, ты и так знаешь кто когда куда и что ;) Разговаривайте с людьми! это сэкономит уйму времени и места на ваших дисках ;) И сильно поможет в понимании того нужен ли вам аудит вообще или нет. Подсказка - нет ;)

8. Можно ли научиться «видеть потенциальных нарушителей»?
Видеть - нет. Знать - да ;)

9. Читаете ли вы профессиональные блоги? Можете кого-то порекомендовать?
Не читаю. Не интересно. По крайней мере, я не встречал блога, который бы не пытался мне что-нибудь продать. А зачем читать, если я никогда этого не куплю? ;)

10. С чего, по вашему мнению, нужно начинать обучение информационной безопасности?
С технических азов. Устройства компьютера, сетей, протоколов. И базового технического высшего образования. Много, очень много математики.

11. Куда лучше отнести ИБ подразделение, к айтишникам или к службе безопасности?
Только СБ или выделенное подразделение уровня подчинения собственнику. Все остальное - профанация.

12. Какие навыки специалиста вы бы называли ключевыми?
Технический бэкграунд и умение общаться с людьми.

13. Вы занимаетесь ИБ с 2000 года, насколько я знаю. Как на ваш взгляд поменялась роль специалиста по защите информации за последние 20 лет?
С 1998-го ;) На бумаге роль поменялась сильно. В реальности - почти никак. Единственное что, благодаря законодателям, наличие собственной ИБ из "модной тенденции" перешло в "обязательные условия".

14. Вы согласны с утверждением «80 процентов внутренних угроз, 20 – внешних»?
Нет. 80 на 20 было на границе веков. Сейчас, если, конечно, вы не являетесь стратегически важным предприятием отрасли, это соотношение 95 на 5.

15. С какими подразделениями специалисту по ИБ стоит подружиться?
Ни с какими. Дружба - понятие интимное. Иметь хорошие отношения надо в первую очередь с собственником, с ИТ и с бухгалтерией (чтобы не забывала платить зарплату ;))))

16. Кому не стоит заниматься информационной безопасностью?
Гуманитариям и юристам.

17. Знаю, что вы увлекаетесь игрой на гитаре, философский вопрос: «Что общего у музыки и нашей профессии?»
Я занимаюсь не "игрой на гитаре" (гитарист из меня посредственный), а сочинением  и исполнением собственной музыки. И там и там - сплав креатива и технологий.

18. У вас потрясающее чувство юмора, наверняка вы знаете забавные истории, можете поделиться интересным случаем из практики?
Никогда не называйте хосты распределенной сети одинаковым именем ;) Когда-то давно была найдена очередная уязвимость на уровне ядра linux, которую на одном из наших удаленных серверов попытались проэксплуатировать местные айтишники. Ну, само собой, в течение 15 минут они получили трудовые и были выставлены с работы, но патчить-то надо! И вот мы занялись. Принцип простой - удаленный вход на сервер, установка патча, ребут, проверка. Захожу на сервер с именем oracle (таких серверов было много), накладываю патч, ребут, коллега проверяет - не работает патч. Ну, думаю, далеко не первый сервер, может опечатка или что. Повторяю. Результат тот же. Странно, думаю, все сервера нормально, а калужский никак. Еще раз... В общем через два часа позвонили коллеги из Тюмени и спросили, а что это у них связь с КИС пропадает ;))) С тех пор в имена серверов стали добавлять указание города...

19. Расскажите о трех любимых художественных книгах. Что бы вы посоветовали обязательно прочитать?
Я не большой любитель беллетристики. Но из моих любимых, даже не книг, а авторов, могу порекомендовать Роджера Желязны. Особенно его короткие рассказы. Люблю стихи и прозу Саши Гутина, на некоторые его стихи я написал песни. Еще мне нравится британская детективная классика.

20. Пожелайте нашим читателям чего-нибудь хорошего.
Растите (профессионально и душевно), толстейте (денежно и в связях) и всё такое ;)

Большое спасибо за ответы на вопросы!

Ну и бонусом размещу здесь стихотворение Александра.

Я очень скоро стану стану старым
И дай мне Бог, чтоб не больным
Но я жалею лишь о малом
Не стать мне больше молодым

Я никогда не буду сильным
Призером в спорте золотым
Лишь об одной жалею мысли
Не стать мне больше молодым

Я никогда не стану статным
Тем более совсем худым
Жалею я невероятно
Не стать мне больше молодым

Ну и пускай уже не молод.
Но я пока еще вполне
Готов свернуть любые горы,
Но только лежа на спине*

*Авторская пунктуация сохранена.

Здесь можно послушать музыку Александра. 

Вот такое получилось интервью, есть о чем подумать, с чем согласиться и поспорить. Мне эта беседа очень понравилась. Надеюсь, и вам тоже.


_________
Ну и, как всегда, минутка саморекламы. В ноябре вышла моя вторая книга по защите персональных данных. Чтобы приобрести "Персональные данные: как перестать беспокоиться и начать защищать?", обратитесь в личные сообщения:


Вконтакте: https://vk.com/shudrova
telegram: @KseniaShudrova
instagram: @boyarinya_marshmelova 
Книга электронная! Стоимость - 200 р.