среда, 23 февраля 2022 г.

Урок 1. Что такое персональные данные?

Добрый день, коллеги! Сегодняшним постом я бы хотела начать серию заметок по практической защите персональных данных. Темы будут максимально обобщенные. Я думаю, что пора уже переходить от частностей и деталей к принципам и идеям.

 Итак, начнем.

Темой сегодняшнего урока будет определение персональных данных. С самого начала ведения этого блога, а именно с 2011 года, я регулярно получаю вопросы о том, является ли некий набор данных персональными данными. Вопросы эти выглядят простыми только на первый взгляд.

Так что же относится к персональным данным?

В федеральном законе «О персональных данных» № 152-ФЗ от 27.07.2006 определение дано следующее:

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Из старой редакции закона информации можно было почерпнуть чуть больше:

Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

 Так, что и на сегодняшний день можно сделать допущение, что: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия и доходы можно отнести к персональным данным.

 Что еще можно добыть из 152-ФЗ?

 Специальные категории персональных данных - это данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

Биометрические персональные данные - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных.

 Ранее существовало разъяснение Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки», которое проливало свет на вопросы отнесения к биометрии. С 19 ноября 2021 года это разъяснение отменено (Письмо Роскомнадзора от 19.11.2021 N 09-78548 "О неактуальности разъяснений Роскомнадзора").

 Остальные персональные данные согласно Постановлению Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» относятся к иным. Также не забывайте, что общедоступные персональные данные исчезли в связи с появлением персональных данных, разрешенных субъектом персональных данных для распространения (ссылка). А вот общедоступные источники персональных данных остались (не путаем одно с другим).

 Также искать ответ на вопрос: «что такое персональные данные?» можно в других федеральных законах и подзаконных актах. 

 Например в Указе Президента РФ от 30.05.2005 N 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела» определено, что под персональными данными гражданского служащего понимаются сведения о фактах, событиях и обстоятельствах жизни гражданского служащего, позволяющие идентифицировать его личность и содержащиеся в личном деле гражданского служащего либо подлежащие включению в его личное дело в соответствии с настоящим Положением. 

Интересную информацию можно почерпнуть из судебных решений. Во многих решениях по статье 13.11 КоАП решается вопрос о признании определенного набора данных персональными данными. Встречаются ситуации забавные, когда субъект сам не знает, что относится к его персональных данным:

 В городскую прокуратуру обратился X с заявлением об оскорблении его Y. В своих пояснениях X помимо заявления о его оскорблении указал факт распространения работниками бухгалтерии сведении о его личной жизни при этом не конкретизировал каких именно, а указал, что у него имеются лишь предположения. Определением городского прокурора по обращению X отказано в возбуждении дела об административном правонарушении о распространении работниками бухгалтерии сведений о частной жизни заявителя за отсутствием события административного правонарушения, предусмотренного ст.13.11 КоАП РФ. Как следует из текста обжалуемого определения, прокурорской проверкой установлено, что сам заявитель не указывает какие именно сведения были распространены.... (12-87/2021, https://bsr.sudrf.ru/bigs/portal.html).

Но есть и действительно полезные выводы:

Довод заявителя о том, что адрес электронной почты не является персональными данными, суд не может принять во внимание, в связи с тем, что согласно Постановлению Правительства РФ от 13.09.2019 № 1197 «О внесении изменения в состав сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, включая вид биометрических персональных данных» правительством принято: дополнить состав сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, включая вид биометрических персональных данных, утвержденный постановлением Правительства Российской Федерации от от 30 июня 2018 г. № 772 «Об определении состава сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, включая вид биометрических персональных данных, а также о внесении изменений в некоторые акты Правительства Российской Федерации», пунктом «д» следующего содержания: контактные данные физического лица: номер абонентского устройства подвижной радиотелефонной связи, адрес электронной почты)" (12-1070/2021, https://bsr.sudrf.ru/bigs/portal.html).

 Ну и еще один ответ на вопрос, что же такое персональные данные можно найти в интервью главы Роскомнадзора от 2015 года.

 Так как же понять, являются ли конкретные сведения персональными данными? Поделюсь своими мыслями, в качестве примера рассмотрим некую Лебедеву К.Е.

1.     Если можно определить личность человека, то это точно персональные данные (например, Лебедева Ксения Евгеньевна, 1987 г.р., кандидат технических наук, г. Красноярск).

2.     Если можно косвенно отнести информацию к конкретному человеку, то это персональные данные (например, Лебедева Ксения Евгеньевна, навык слепой десятипальцевой печати, знание технического английского языка);

3.     Диагнозы - это спец категория (например, Лебедева Ксения Евгеньевна, близорукость);

4.     Данные об успешном прохождении медосмотра - не персональные данные (Лебедева Ксения Евгеньевна, Пр № 1 от 01.01.2022, ограничений не выявлено).

5.     Безличные характеристики - не персональные данные (В нашем НИИ работает 13 кандидатов наук и 1 доктор наук).

6.     Данные животных - не персональные данные (Пушок, Шарик).

7.     Если нельзя установить субъекта, имея дополнительную информацию - это обезличенные персональные данные (кандидат технических наук, г. Красноярск).


И.Э. Грабарь. Февральская лазурь. 1904. Источник


По вопросам сотрудничества и приобретения моих книг (электронных) обращайтесь:

Вконтакте: https://vk.com/shudrova
telegram: @KseniaShudrova
instagram: @boyarinya_marshmelova 


вторник, 25 января 2022 г.

Персональные данные, разрешенные субъектом персональных данных для распространения

 Добрый день, коллеги! В прошлом посте мы говорили с вами об общих итогах 2021 года. Теперь давайте углубимся в детали.

Федеральным законом от 30.12.2020 № 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» было введено понятие персональных данных, разрешенных субъектом персональных данных для распространения. К ним относятся персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом «О персональных данных». Также была введена статья 10.1 «Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения». 

На что следует обратить внимание?

1. Были исключены общедоступные ПДн.

Было:

персональные данные сделаны общедоступными субъектом персональных данных

 

Стало:

персональные данные, разрешенные субъектом персональных данных для распространения

 


2. Согласие на распространение оформляется отдельно от иных согласий субъекта.

3. Обязанность предоставить доказательства законности распространения персональных данных лежит на операторе.

4. Согласие должно быть явным.

5. Согласие может быть передано субъектом непосредственно или через информационную систему Роскомнадзора (с 01.07.2021).

6. Субъект вправе установить запреты на передачу и обработку ПДн.

7. Оператору дается 3 рабочих дня на публикацию условий обработки и запретов (с 01.07.2021).

8. Ограничения, установленные субъектом, не действуют в ряде случаев (общественные интересы и т.п.).

9. Передача должна быть прекращена по требованию субъекта.

Также был издан Приказ от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных для распространения».


Согласие должно содержать:

1) фамилия, имя, отчество субъекта персональных данных;

2) контактная информация;

3) сведения об операторе;

4) сведения об информационных ресурсах оператора (адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы), посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных;

5) цель (цели) обработки персональных данных;

6) категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

7) категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов;

8) условия, при которых полученные персональные данные могут передаваться оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных;

9) срок действия согласия.

О распространении персональных данных мы с Сергеем Борисовым проводили межблогерский вебинар, запись его можно посмотреть здесь (1 час 40 минут).

По вопросам сотрудничества и приобретения моих книг (электронных) обращайтесь:
Вконтакте: https://vk.com/shudrova
Facebook: https://www.facebook.com/profile.php?id=100001253566519
telegram: @KseniaShudrova
instagram: @boyarinya_marshmelova 

понедельник, 24 января 2022 г.

Персональные данные. Итоги 2021 года

 Добрый день, коллеги! Январь - время подведения итогов прошедшего года.

В Федеральный закон "О персональных данных" два раза вносились изменения. 

1. Добавлена статья 23.1. "Федеральный государственный контроль (надзор) за обработкой персональных данных". Она составлена с учетом положений Федерального закона от 31 июля 2020 года N 248-ФЗ "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации. 

2. Добавлена ссылка на Федеральный закон от 31 июля 2020 года N 258-ФЗ "Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации", в порядке и на условиях, которые предусмотрены указанными федеральными законами".

С 1 марта 2021 года вступили в силу изменения в Федеральном законе "О персональных данных", касающиеся персональных данных, разрешенных субъектом персональных данных для распространения. Введено определение таких данных. Добавлена статья 10.1. "Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения".

На сайте Роскомнадзора появились рекомендации по по форме согласия на обработку ПД, разрешенных для распространения. Ссылка.


Опубликован перечень объектов контроля (надзора), учитываемых в рамках формирования ежегодного плана контрольных (надзорных) мероприятий, с указанием категории риска в области персональных данных. Ссылка. Там можно поискать свою организацию.

Можно сказать, что это все основные новинки. В следующем посте рассмотрим вопрос распространения персональных данных подробно.

Продолжение следует...

вторник, 18 января 2022 г.

Письмо читателя. ИБ в Узбекистане

Добрый вечер, дорогие коллеги! Год надо начинать с чего-то хорошего, например, с хороших людей. Поэтому я предлагаю вам прочитать интереснейший рассказ о своем пути в ИБ от Антона Ракитского, специалиста по информационной безопасности, ООО «IT-TEAM SERVICE» из г. Ташкент, Узбекистан. Приятного чтения!



О приходе в ИБ и первых шагах в профессии
Т.к. учился в институте связи, то понимал, что работать буду в области, связанной с ИТ. Тем более что во время обучения и институт переименовали из «связи» в «университет информационных технологий».
В информационную безопасность попал вообще случайно. Руководитель дипломного проекта порекомендовал сходить на собеседование к своему бывшему однокурснику, который работал в банке, в отделе ИБ. При первой же встречи произвело впечатление, когда будущие коллеги смотрели в консоль почтового антивируса и видели как приходят письма с зараженными вложениями, детектируются и удаляются. Тогда, в 2003 году, это казалось чем-то невероятным. А ещё спутниковый интернет со скоростью 256 кбит/с. Так получилось, что ещё не окончив институт уже устроился на полставки в банк.

Позже убедился, что очень удачно попал. Ведь ИБ взаимодействовало со всеми ИТ-подразделениями, поэтому пришлось разбираться и с их работой. Уже тогда поражала диспропорция. В департаменте ИТ работало больше ста человек, а в безопасности только четверо. На этот же период пришлись первые волны цифровизации - появился первый дистанционный банкинг, развитие карточных систем. Во все такие проекты внедрения меня и направляли на стажировку и обучение.
Другая большая удача - что удалось побывать почти во всех регионах страны. Руководство решило, что нужно объехать все филиалы и провести внутренний аудит ИБ. Своими силами разработали план и в течение года «катались» по командировкам. Такой «деловой туризм» подействовал очень отрезвляюще. Стало понятно, что многие прожекты, планируемые в головном офисе, до регионов просто не дойдут - нет техники, и, что хуже - грамотных сотрудников. Адекватных быстро переманивали в головной офис или другие компании. Каналы связи тогда тоже оставляли желать лучшего, поэтому большое значение имели именно локальные ИТ-специалисты. Поэтому руководство приняло решение - учить тех что есть и работать с ними. Так впервые пришлось читать лекции. С тех пор ещё больше зауважал труд преподавателей. После пары лекций подряд устаёшь настолько, будто вагоны разгружал. И это ‑ со взрослой и более-менее заинтересованной аудиторией. Как педагоги каждый день работают с детьми - не понимаю.
В те же годы на себе испытал известные многим войны между ИТ и ИБ. Особенно когда на оба департамента выделялся общий бюджет и нужно было выбирать - обновить парк серверов или купить какую-нибудь IDS-систему. Приходилось искать способы объяснить правлению, что это подход «или/или» неправильный. Нужно и то, и это. И если возможность удалённого обслуживания клиентов виделось как конкурентное преимущество, и на это деньги выделялись, то про безопасность всего этого приходилось объяснять на пальцах. До сих пор помню высказывания руководителя финансового департамента - «да кому мы тут нужны, в Азии-то. Мы же не швейцарский банк. Ещё не родился хакер, который нас взломает».
 
Про частный бизнес.
Работа в банке хоть и весьма сложная, но всё-таки рутинная. Поэтому с коллегами приняли решение создать собственную консалтинговую компанию и оказывать услуги по экспертизе ИБ, разработке документов. Занимаемся этим уже более десяти лет. Работа консультантом дала новый взгляд на безопасность. Подтверждается и известная шутка, что «эксперт - любой человек не из нашего города». Когда о проблемах говорит административно независимый человек (аудитор, консультант), то внимания у руководства к этому больше, чем к сотруднику, который про это твердит не первый год.
Не перестаём удивляться, что ИБ сейчас практически везде. У нас в Узбекистане два года назад был принят закон «О персональных данных», а это целая новая сфера/страта ИБ. А ведь никуда не исчезли и вопросы подбора персонала, и безопасность инфраструктуры, кондиционеры, дизель-генераторы, кабельные колодцы, NDA и SLA.
Ну и про «замылившийся глаз» тоже актуально. Постоянно находятся лежащие на поверхности критические уязвимости, которые находятся за пять минут, но не были обнаружены силами предприятия. Из самых анекдотичных случаев - незапароленный Wi-Fi в серверной подсети, стершиеся кнопки кодового замка, выдающие код доступа. Или простейшая уязвимость (инъекция) когда вместо кода подтверждения, оправленного по SMS мы забавы ради вместо кода (которого у нас не могло быть) ввели знак «?» и неправильно написанный скрипт нас «впустил». И таких детских, но от этого ещё более обидных проблем, множество на любом крупном предприятии. Точнее там, где нет системного подхода, того что и называется СМИБ - системы менеджмента информационной безопасности. Поэтому и продолжаю удивляться универсальности стандарта ISO/IEC 27001. Просто бегло пройдясь по его требованиям и «закрыв» хотя бы часть из них можно очень серьезно поднять уровень ИБ.
 
Про статьи.
С первых лет работы в ИБ чуть ли не основным сайтом с русскоязычными новостями был SecurityLab, а публикующиеся там - почти небожителями. Даже познакомившись с некоторыми из них лично (Алексей Лукацкий, Михаил Кадер) это ощущение ещё долгое время не пропадало. Поэтому вдвойне было увидеть там статьи/заметки Ксении Шудровой. «А что, так можно было?» Т.е. молодой и неизвестный автор может так запросто публиковаться рядом с общепризнанными авторитетами? Поэтому, решив попытать счастья и сдать статью в печатный журнал, рискнул обратиться уже к Ксении с предложением о коллаборации. Очень благодарен ей за советы и помощь. Та совместная статья успешно вышла (https://www.itts.uz/news/85-isstart), и, как кажется, актуальная до сих пор. После этого некоторые редакции уже сами выходили на меня с предложением написать на заданные темы.
Как и с преподаванием, открылась истина ‑ мало понимать предмет статьи, нужно ещё суметь оформить это словами. Чтобы хотя бы самому более-менее нравилось. И получается это далеко не всегда.
 
О профессиональном развитии.
Вот и получается, что современный ИБ-специалист чтобы быть в тренде должен периодически что-то писать для СМИ, или хотя бы в блог (https://t.me/ittsuz). Читать лекции, выступать с докладами на конференциях. А ведь ещё и нужно постоянно изучать новинки, читать коллег. А значит - саморазвитием нужно заниматься чуть ли не больше, чем основной работой. Вдвойне везёт тому, кто умеет всё это совмещать.
 
По вопросам сотрудничества и приобретения моих книг (электронных) обращайтесь:
Вконтакте: https://vk.com/shudrova
Facebook: https://www.facebook.com/profile.php?id=100001253566519
telegram: @KseniaShudrova
instagram: @boyarinya_marshmelova 

четверг, 2 декабря 2021 г.

Сколько получает специалист по информационной безопасности?

Добрый день, коллеги! Думаю, многим из нас интересно, сколько же получает средний специалист по информационной безопасности? Конечно, интересно. Чтобы удовлетворить любопытство я провела опрос в своей группе ВК

Вот его результаты. Участники - 435 человек.

Общая статистика.


Статистика по зарплатам мужчин.



Статистика по зарплатам женщин. Как мы видим, средние зарплаты женщин немного ниже.


Зависит ли зарплата от возраста? Да, после 35 лет она повыше.



А что насчет Москвы? Сами видите.



Вот такая вот статистика. А сколько получаете вы? Примите участие в опросе.

По вопросам сотрудничества и приобретения моих книг (электронных) обращайтесь:

Вконтакте: https://vk.com/shudrova

Facebook: https://www.facebook.com/profile.php?id=100001253566519

telegram: @KseniaShudrova

instagram: @boyarinya_marshmelova 

понедельник, 29 ноября 2021 г.

Техническая безопасность персональных данных: ответы на вопросы

Добрый день, коллеги! 25 ноября прошла конференция Infobip Privacy Forum. Я участвовала в ней в качестве спикера онлайн. Пригласил меня давний знакомый и гость межблогерских вебинаров Денис Лукаш. Ссылки на вебинары: про взгляд юриста на ИБ , про мессенджеры.


Ссылка на запись трансляции: https://www.forbes.ru/forbes-agenda/446895-konferencia-infobip-privacy-forum-pramaa-translacia

Я участвовала в панельной дискуссии:

Приоритеты технической безопасности персональных данных коммерческих компаний (примерно 5 часов 10 минут время начала беседы в трансляции)

Эксперты по информационной безопасности:

Кристина Боровикова, Старший менеджер, KPMG Cybersecurity&Privacy

Роман Чаплыгин, Директор направления по развитию бизнес-консалтинга Positive Technologies

Александр Веселов, Руководитель направления ГОСТ VPN, Ростелеком-Солар

Ксения Шудрова, RISC, к.т.н.

Сергей Борисов, CISO, Крупная логистическая компания

Модератор Денис Лукаш, DPO Infobip Eurasia

Ниже приведу свои ответы на вопросы

Какой процент от продукта или услуги нужно заложить в ИБ ПДн, Маркетинг или публичное наказание нарушителя может быть все-таки дешевле?

Доля будет зависеть от многих факторов, категории персональных данных, объема базы, количества используемых для доступа устройств, сложности инфраструктуры, количества пользователей, а, главное, важности бизнес-процесса. Безусловно, в некоторых проектах персональные данные играют главную роль и являются источниками прибыли, в таких системах затраты могут быть обоснованно высокими.

Размер бюджета на информационную безопасность персональных данных отдельно можно не выделять, многие мероприятия закрываются из общего бюджета на информационную безопасность, особенно технические. Правильно отмечено, что публичные наказания весьма эффективны, не стоит ими пренебрегать. Такая информация хорошо запоминается, но важно описать подробно, в чем заключалось нарушение.

Если говорить о каких-либо формулах, то можно использовать следующую. Разница между предполагаемой прибылью от внедрения проекта и предполагаемым бюджетом на защиту персональных данных должна быть больше определенного значения. Это значение задаете вы. Если разница меньше нужного значения, то необходимо пересмотреть бизнес-процесс, использовать обезличивание, уменьшить количество пользователей, каналов связи, удаленных подключений.

Для уменьшения затрат можно начать с оптимизации бизнес-процесса, установления его связей с другими бизнес-процессами, с придания ему легитимности, в первую очередь.

Можно использовать те средства защиты информации, которые уже закуплены на предприятии, продумывать, что можно закрыть организационными мерами и как справиться своими силами.

Что касается маркетинга, то безусловно очень важно позиционировать себя в глазах потребителя, но один лишь маркетинг не справится с поддержанием репутации при безответственном отношении к ПДн клиентов и сотрудников. Все мы знаем такие компании, которые красиво представляют себя на рынке, но сарафанное радио говорит держаться от них подальше. Поэтому маркетинг не закроет "дыру в безопасности", однако, может подчеркнуть ваше бережное отношение к личным данным клиента.


Функция ИБ ПДн часто выполняется централизовано. Должен ли кто-то в холдинге из 5-15 компаний получить лицензию ФСТЭК для этого, как можно без лицензий?  Если функцию ИБ выполняет иностранная компания, например, материнская?

Согласно требованиям законодательства РФ лицензия ФСТЭК России для защиты персональных данных может понадобиться в двух случаях:

1. Вы собираетесь оказывать услугу по технической защите конфиденциальной информации другому юридическому лицу.

2. Вы собираетесь своими силами аттестовать свои ИСПДн.

Процедура аттестации для коммерческих организаций не является обязательной. Таким образом, осуществлять защиту ИСПДн в рамках одного юридического лица можно без лицензии. Если речь идет о холдинге, в котором ИБ занимается одна организация, которая собирается оказывать услуги остальным, то лицензия нужна. Но это касается только технической защиты (установка, настройка средств защиты информации). Бумаги можно делать без лицензии.

В заявлении о получении лицензии указывается номер из ЕГРЮЛ или данные об ИП, иностранные лица сделать этого не могут. Хотя и есть законопроект об отмене запрета на выдачу лицензий иностранным лицам, но пока получение лицензии даже на российский филиал не предусмотрено.

Также не стоит забывать, что есть еще один регулятор - ФСБ России, такие лицензии понадобятся, если возникнет потребность в использовании криптографии. А она применяется для защиты каналов связи. В современном мире сложно представить абсолютно автономную систему.

Итак, как понять, нужна ли лицензия ФСТЭК России? Необходимо определить объем работ и узнать их стоимость у лицензиатов. Затем нужно посчитать затраты на получении лицензии:

·       обучение персонала (речь идет о требованиях к образованию);

·       аренда/покупка помещений;

·       аренда/покупка оборудования;

·       покупка специализированной документации;

·       затраты на аттестацию своей системы;

·       оплата госпошлины.

Время ожидания - не менее 45 дней.

Также стоит отметить, что в дальнейшем регулятор будет вас проверять . Хотя срок действия лицензии на ТЗКИ не ограничен, но для ее поддержания придется тратить значительные средства на закупку средств защиты информации, их обновление, обучение персонала, поверку оборудования, поддержание комплекта документов в актуальном состоянии и т.д.

 

Email, мессенджеры — это ИСПДН? Могут ли коммерческие компании работать с физлицами через них, что учесть?

Сами по себе E-mail и мессенджеры, которые использует компания, не являются ИСПДн. ИСПДн — это широкое понятие и включает в себя как сами персональные данные, так и обеспечивающие их обработку информационные технологии и технические средства. Поэтому почтовые серверы и мессенджеры — это всего лишь инструменты, они являются частью ИСПДн предприятия. Чтобы сделать обработку ПДн клиентов в них законной, она должна осуществляться с согласия (в большинстве случаев). Естественно, речь идет не о письменном согласии. Само участие клиента в диалоге, а точнее инициирование диалога с компанией говорит о согласии на такую обработку. Обязательно нужно разработать политику обработки персональных данных и разместить ее на сайте организации. Также могу посоветовать в начале диалога с клиентом отправлять ссылку на политику.

Есть еще один важный момент при обработке персональных данных в мессенджерах. Это локализация. Законодательство РФ определяет, что основная актуальная база персональных данных российских граждан должна размещаться на российских серверах. Передача данных за границу допустима, но с соблюдением определенных требований безопасности при трансграничной передаче, а также почти всегда исключительно с согласия субъекта.

В заключение хочу сказать, что в любой ситуации обработки персональных данных необходимо придерживаться принципа минимизации собираемых данных, а также использования их исключительно по прямому назначению. Также отмечу, что законом запрещена адресная реклама без предварительного согласия субъекта.



Кристина Боровикова, Старший менеджер, KPMG Cybersecurity&Privacy (слева), Ксения Шудрова (справа)

По вопросам сотрудничества и приобретения моих книг (электронных):

Вконтакте: https://vk.com/shudrova

Facebook: https://www.facebook.com/profile.php?id=100001253566519

telegram: @KseniaShudrova

instagram: @boyarinya_marshmelova 

пятница, 17 сентября 2021 г.

Зачем защищать персональные данные?

 Доброй пятницы, коллеги! Предлагаю вам собственноручно отобранные картинки-вырезки на тему защиты персональных данных. Их можно будет вставлять в ваши презентации для руководства и обосновывать бюджеты на ИБ.

Итак, зачем обрабатывать персональные данные?

Причины на мой взгляд две. Первая - получать выгоду от защиты персональных данных.

1. Безопасность ПДн продавать как услугу:

источник

2. Повышать свою репутацию среди клиентов, например, стать добросовестным оператором:
источник
3. Получить преимущество перед конкурентами, чтобы клиент мог выбрать нас осознанно:
источник
Вторая причина защищать персональные данные - это минимизация рисков.
4. Чтобы не пришлось оплачивать штрафы:
источник
5. Чтобы не пришлось возмещать ущерб за утечку персональных данных:
источник
6. Чтобы субъекты не отзывали свои согласия на обработку персональных данных:
источник

Вконтакте: https://vk.com/shudrova

Facebook: https://www.facebook.com/profile.php?id=100001253566519

telegram: @KseniaShudrova

instagram: @boyarinya_marshmelova