пятница, 9 ноября 2018 г.

Книги по персональным данным

Добрый день, дорогие читатели! 19 октября я защитила кандидатскую диссертацию и теперь веду блог уже как кандидат технических наук. Надеюсь это обстоятельство повлияет на качество заметок :)  О своем опыте защиты и написания диссертации я напишу чуть позже, а сегодня хотела бы поделиться с вами списком интересных книг по персональным данным. Речь пойдет о книгах, посвященных вопросам российского законодательства в области персональных данных. 

Вот, что удалось найти из более-менее свежей литературы (после 2012 года):

  1. А.И. Савельев, Научно-практический постатейный комментарий к Федеральному закону «О персональных данных», 2017 г. - 470 стр. Книга для изучения вопроса с юридической стороны.
  2. А. С. Дупан (Гутникова), Новая парадигма защиты и управления персональными данными в Российской Федерации и зарубежных странах в условиях развития систем обработки данных в сети Интернет, 2016 г. - 440 стр. Монументальное исследование, много информации о зарубежном опыте.
  3. Михаил Брауде-Золотарев, Виталий Негородов, Евгения Сербина, Иван Волошкин, Персональные данные в государственных информационных ресурсах, 2016 г. - 60 стр.
  4. М. Ю. Рытов, В. И. Аверченков, Т. Р. Гайнулин, Защита персональных данных в организации,  2016 г. - 124 стр.
  5. Персональные данные работников организации и их защита - К.М. Саматов, 2016 г. - 90 стр.
  6. Федеральный закон "О персональных данных": научно-практический комментарий. Под редакцией А.А. Приезжевой, 2015 г. – 177 стр. От коллектива Роскомнадзора.
  7. Сабанов А.Г., Зыков В.Д., Мещеряков Р.В., Рылов С.П.,Шелупанов А.А., Защита персональных данных в организациях здравоохранения, 2012 г. - 206 стр.
  8. Борисов М., Особенности защиты персональных данных в трудовых отношениях, 2018 г. – 224 стр.


 Бесплатные:

  1. White Paper о ФЗ №152, 2018 г. - https:// www.cloud4y.ru/newsletter/Персональные_данные_WhitePaper_Cloud4Y.pdf.
  2. А.С. Исаев, Е.А. Хлюпина, Правовые основы организации защиты персональных данных,  2014 г.  - https://books.ifmo.ru/file/pdf/1570.pdf.
  3. Книга К. Шудрова "Персональные данные: что было, что будет, на чем сердце успокоится…", 2015 г. - https://drive.google.com/file/d/0B6P_r3uvsC07ZGhFTlZpTDBnMGc/view. Моя книга.


 А какие книги по защите персональных данных читаете Вы?
Пьер Огюст Ренуар. Читающая девочка. Источник

https://vk.com/kshudrova - подписывайтесь на официальную страницу ВК.





четверг, 11 октября 2018 г.

Алгоритм изучения нормативной документации по персональным данным

Добрый день, коллеги! Хочу поделиться с Вами шпаргалкой, которая помогает выбрать минимально необходимый для изучения набор нормативной документации.

Обозначения
ФЗ 152 - Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ
687 ПП - Постановление Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"
17 Пр ФСТЭК - Приказ ФСТЭК России от 11.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах"
378 Пр ФСБ - Приказ Федеральной службы безопасности Российской Федерации от 10 июля 2014 г. N 378 г. "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности"
GDPR - General Data Protection Regulation
1119 ПП - Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
21 Пр ФСТЭК - Приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
13.11 КоАП - КоАП РФ Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных
Гл. 14 ТК - ТК РФ Глава 14. Защита персональных данных работника
Док-ты РКН - Документы Роскомнадзора и Минкомсвязи, например:
  • Приказ Роскомнадзора от 05.09.2013 N 996 "Об утверждении требований и методов по обезличиванию персональных данных" (вместе с "Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ"),
  • "Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных",
  • Разъяснения: Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве,
  • Комментарий к Федеральному закону от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»,
  • Методические рекомендации по организационной защите физическим лицом своих персональных данных,
  • Приказ Роскомнадзора от 30.05.2017 № 94 "Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения",
  • Приказ Минкомсвязи России от 13.08.2012 N 196 "Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля и надзора за соблюдением законодательства Российской Федерации о средствах массовой информации.


ВК: https://vk.com/kshudrova - подписывайтесь! Здесь Вы найдете ссылки на новости мира ИБ, интересные статьи разных авторов и мои размышления о защите информации.

понедельник, 20 августа 2018 г.

Код ИБ Красноярск

Добрый вечер, дорогие читатели! Близится осень и новый деловой сезон, а значит и конференция Код ИБ в Красноярске. Ура, уже совсем скоро! 

В этом году я буду куратором конференции, которая пройдет 04 октября в отеле Хилтон. Основную информацию о мероприятии можно посмотреть здесь. Жду всех специалистов в области информационной безопасности города Красноярска (и не только)! Помните, что участие для слушателей включает в себя обеды и кофе-брейки, а также можно посетить конференцию бесплатно.

Кроме вкусной еды обещаю интересные доклады экспертов и горячие дискуссии. Ну и сама, конечно, выступлю, как без меня-то. В прошлом году конференцию пришлось пропустить в связи с рождением сына, значит в этом буду выкладываться вдвойне :) Жду интересные вопросы, а также любые предложения по сотрудничеству. Может быть у вас есть уникальный опыт в области ИБ, и вы жаждете выступить? С удовольствием вас послушаем!


 Свежая информация о конференции будет появляться в группе ВК: https://vk.com/kshudrova

вторник, 14 августа 2018 г.

Специалист по защите персональных данных

Добрый день, дорогие читатели! Немного моего творчества - мысли типичного специалиста по защите персональных данных.
Вступайте в группу ВК: https://vk.com/kshudrova

четверг, 12 июля 2018 г.

Оператор или обработчик

Добрый день, дорогие читатели! Несмотря на то, что небо послало нам ФЗ "О персональных данных" уже 12 лет как, споры вокруг него не только не утихают, но и разгораются с новой силой. Очень часто приходят вопросы от специалистов с описанием какой-то жутко мудреной схемы обработки этих самых данных и припиской в конце: "А может мы и не оператор вовсе?" К сожалению, в большинстве своём надежды не оправдываются. Но почему же такие сомнения вообще возникают? Главная причина, на мой взгляд, одна - никто не хочет быть оператором. Здесь все понятно: комплекс организационно-технических мероприятий, работа с субъектами, с регуляторами - все это требует финансовых и временных вложений. С другой стороны манит лёгкая доля лица, обрабатывающего по поручению. Знай себе договор выполняй, а в ответе за все будет оператор.

Обратимся к определению:

оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными

Таким образом, оператор:
- осуществляет обработку;
- может организовать обработку;
- определяет цели обработки;
- определяет состав персональных данных;
- определяет действия над персональными данными.

Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.

То есть у лица, которое обрабатывает персональные данные по поручению, должно быть такое поручение, в котором оператор уже указал перечень действий и цели обработки. Если такое поручение есть, то все отлично. Сомнений нет - вы лицо, обрабатывающее персональные данные по поручению. А если его нет? Может быть оператор оказался недобросовестным и передал данные, не оформив все должным образом. В таком случае ошибку нужно исправить и поручение оформить. Но здесь важно понимать - получение данных не от субъекта напрямую не делает вас автоматически лицом, обрабатывающим персональные данные!

Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию...

Есть простая истина, которую многие забывают - базы персональных данных могут дублироваться у разных операторов. Из того, что у двух юрлиц одинаковые базы ПДн не следует, что одно юрлицо оператор, а второе обрабатывает по поручению.

На мой взгляд, вы оператор, если не сможете доказать обратное - предоставить поручение на обработку.

Заходите обсудить эту и другие темы по защите персональных данных ВК:

https://vk.com/kshudrova

пятница, 22 июня 2018 г.

Информационное сообщение ФСТЭК о ПДн

Добрый день, дорогие читатели! Делюсь ссылкой на «Информационное сообщение о некоторых вопросах по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 6 июня 2018 г. N 240/13/2549 от ФСТЭК России (ссылка).
По существу:
1. На обработку персональных данных не нужна лицензия. Логично.
2. Для выполнения работ по обеспечению безопасности персональных данных МОГУТ ПРИВЛЕКАТЬСЯ юридическое лицо (или ИП), имеющее лицензию по технической защите конфиденциальной информации.
Письмо оставляет ощущение легкой недосказанности...

Iryna Kastsova Girl and the sea. (2017)

понедельник, 4 июня 2018 г.

Персональные данные: полезные ссылки 2018

Добрый день, дорогие читатели! Сегодня я хочу поделиться с вами интересными ссылками за первые пять месяцев этого года:

1. Задай тему Роскомндадзору (голосование): ссылка.
2. Как провести дебаты по вопросам защиты ПДн (для ВУЗов): ссылка.
3. ПДн соискателей: ссылка.
4. Про туристов и GDPR: ссылка.
5. Лучшие практики ENISA (еще про GDPR): ссылка.
6. И еще про GDPR: ссылка.
7. Судебная практика ст. 87: ссылка.
8. Еще судебная практика: ссылка.
9. Персональные данные в облаках: ссылка.
10. Сахар или ПДн? Ссылка.

Н. Сонник. Источник
Присоединяйтесь к группе блога ВК: https://vk.com/kshudrova - у нас проходят обсуждения интересных вопросов!