пятница, 15 марта 2019 г.

С чего начать обучение информационной безопасности?

В журнале itsec вышла моя новая статья на тему "С чего начать обучение информационной безопасности" (стр. 14-16). Журнал можно прочитать на сайте. Для отображения требуется флеш плеер.

Приятного чтения!


Подписывайтесь на группу ВК: https://vk.com/kshudrova

четверг, 14 марта 2019 г.

Судебная практика. Персональные данные. Часть 2

Дело № 1
Постановлением мирового судьи юридическое лицо ООО «», признано виновным в совершении административного правонарушения, предусмотренного ч. 6 ст. 13.11 КоАП РФ, с назначением наказания в виде административного штрафа в размере 25 000 рублей. Из постановления следует, что ООО «»  допустило несоблюдение условий, обеспечивающих сохранность персональных данных и исключающие несанкционированный к ним доступ, чем нарушило п. 15 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденных Постановлением Правительства РФ от 15.09.2008 №687. а именно: в магазине на подоконнике окна входа расположена деревянная стойка по многоквартирным домам, куда вложены платежные документы, в том числе, от ООО «», содержащие персональные данные собственников жилых помещений многоквартирных домов.

Дело № 2
Из материалов дела, и в частности содержания протокола об административном правонарушении и самого обжалуемого постановления мирового судьи следует, что правонарушение было совершено 11.09.2018 и было связано с раскрытием персональных данных пациентов ГБУ «» путем вывоза на свалку  документов с персональными данными пациентов.

Дело № 3
Заявитель утверждает, что сотрудником АО «» была сделана ксерокопия ее паспорта и о том, что такое копирование было условием выдачи заказа, не нашли своего подтверждения, так как такая ксерокопия отсутствует, она не была выявлена при проведении проверки специалистом регионального Управления Роскомнадзора, подтверждений того, что заявителю было отказано в выдаче ее заказа под таким условием суду представлено не было. К показаниями свидетеля суд отнесся критически, поскольку данное лицо является заинтересованным в исходе дела, так как является супругом заявителя.
Принимая во внимание данные нормы закона, отсутствие достаточных данных, свидетельствующих об обработке персональных данных заявителя, отсутствие на момент проверки административным органом заявления копии ее паспорта у АО «», оснований для вывода о наличии в действиях АО «» признаков состава административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ, у должностного лица регионального Управления Роскомнадзора не было, в связи с чем не было достаточных оснований и для возбуждения дела об административном правонарушении.

Дело № 4
- анкеты заемщиков, содержащие персональные данные и использование которых обществом завершено, в установленном порядке не уничтожены;
- хранение ранее использованных в работе анкет с персональными данными в помещении структурного подразделения общества осуществляется в картонных коробках в шкафу без запирающего устройства, акты об уничтожении ранее использованных персональных данных не представлены;
- на момент проверки отсутствовал документ, определяющий конкретные носители, на которых осуществляется обработка и хранение персональных данных;
- на момент проверки обществом не представлено документов, подтверждающих принятие мер, направленных на исполнение установленных данной нормой обязанностей.

Картина маслом на холсте. Лукаш Анатолий. Март. Изборск
Лукаш Анатолий. Март. Изборск. Ссылка
https://vk.com/kshudrova - подписывайтесь на страницу ВК.

четверг, 28 февраля 2019 г.

Оффтоп. Как учиться и работать дома

Добрый день, дорогие читатели! В группе блога меня попросили осветить тему самообучения в декрете (спасибо, Татьяна Байкалова!). Тема интересная и мне действительно есть что рассказать. Я только немного расширю ее до темы "работа из дома", потому что не так важно, есть у вас ребенок или нет. Работать из дома сложно в любом случае.

Почему вы можете прислушаться к моим советам?

  • я занимаюсь с ребенком преимущественно самостоятельно, бабушки и дедушки в других городах, супруг работает с 8 до 18, 
  • сыну сейчас 1 год и 4 месяца и он очень активный, моргнул - у тебя под носом выросла пирамида из подручных материалов и венчает ее ребенок;
  • я защитила кандидатскую диссертацию, когда ребенку исполнился год;
  • я занимаюсь фрилансом по специальности, веду блог, аккаунты в соцсетях, выступаю и занимаюсь организационной работой в некоторых проектах.
ОЧЕНЬ ВАЖНО! Мне все равно, какие у вас отягощающие обстоятельства: пятеро детей, семь кошек, потребность варить супы три раза в день, не подходят советы - идите мимо. В диалоги на тему ошибки выжившего я не вступаю.

Теперь, когда нас осталось мало (но мы адекватны), давайте поговорим. У меня был период в 2012 году, когда я работала из дома по гранту. Это было максимально неэффективно. Большую часть дня я валялась на диване и смотрела сериалы. А когда надо было что-то сделать срочно - сидела по полночи над задачей. В результате постоянно чувствовала себя уставшей. Даже поход за хлебом начинал казаться непосильной задачей. Находясь внутри ситуации, я не могла понять, в чем проблема. Вроде бы я делаю все, что нужно: пишу статьи, работаю над грантовой работой, отправляю резюме, хожу на собеседования, веду домашнее хозяйство. А такое ощущение, что весь день ничего не делаю. Этот период длился 4 месяца, вымотал меня основательно, и я была счастлива, когда наконец устроилась на работу в банк. Совмещать работу в банке и научную работу стало гораздо проще, чем заниматься только научной работой дома. 
Полученный опыт настолько напугал меня, что я стала с одной стороны бояться декрета. Я просто не могла представить себе, что я буду делать в течение трех лет дома. С другой стороны я начала подготовку к этому времени. Моей задачей было не повторить ошибки прошлого. Меньше всего мне хотелось скучать несколько лет. 

Какие шаги мы с мужем предприняли заранее:
  • решение финансовых и жилищных вопросов, навыки экономии (чтобы снизить тревожность);
  • формирование привычки к обучению и работе несмотря на обстоятельства (писать и читать даже когда болеешь, когда жар, после операции, в праздники и выходные);
  • отказ от понятия "выходные", как дни безделья;
  • улучшение своих навыков ведения хозяйства, в том числе готовки;
  • изучение литературы про саморазвитие, применение методов планирования во всех сферах жизни.
Задачу я себе поставила следующую: жизнь в декрете должна быть интересной и полезной. Лично для меня очень важно, чтобы каждый день включал в себя работу, обучение и отдых. День, который прошел в хозяйственных хлопотах или развлечениях - потерянный. А я очень не люблю ложиться спать с чувством неудовлетворенности, после пары таких дней начинается бессонница, а потом головные боли, апатия, плохое настроение и ссоры с близкими. 

Но как как все успевать при том, что поведение ребенка часто сложно спрогнозировать? Он даже может заболеть (как раз сейчас у сына режутся зубы), тогда все планы разрушатся... Давайте перейдем уже (наконец!) к правилам:
1. Страстное желание сделать важные дела. Если это работа или обучение - этим нужно гореть и быть готовым сметать все препятствия на своем пути. Так как водоворот дел затягивает, все, что не очень важно для вас отпадет.
2. Быть готовым чем-то пожертвовать. И этих вещей будет много: серфинг, фильмы, книги, хобби, встречи с друзьями, прогулки, сон, болтовня по телефону. Может быть не все сразу, но тем не менее.
3. Иметь планы Б, В и Г. Если ребенок заболел, если вы заболели, если отключили электричество. Чем занять себя? Все нужно продумать, иначе по факту будет три дневных сна :)
4. Быть эффективным. Раньше я могла позволить себе такую роскошь, как писать и одновременно смотреть фильм, передачу или болтать. В результате времени уходило очень много. Сейчас как только начинается дневной сон малыша - тишина и ноутбук.
5. Оптимизировать хозяйственные работы. Учиться быстро готовить, осваивать изготовление полуфабрикатов, борщ на неделю и т.д. Ну и, конечно, класть вещи на свои места.
6. Планирование всего. Походов в магазин, дел на неделю, месяц, праздники, подарки, идеи. Всегда и все записывается, сортируется, учитывается.
7. Иметь легкое хобби. Если вы настроены на серьезную работу, то хобби лучше выбрать расслабляющее. Во время медитативных действий могут прийти новые идеи. Раньше я вышивала по собственным рисункам или рисовала, но это требует большого напряжения. В условиях дефицита времени предпочитаю взять готовую схему и вышивать крестиком, попутно обдумывая свои дела или ведя беседу.
8. Стараться выбираться на улицу. Почему я говорю стараться? Потому что зимой под Красноярском мороз доходит до -45, а при такой погоде с коляской не погуляешь. 
9. Следить за здоровьем, весом, самочувствием и внешним видом. Чтобы не было такого: посмотрел с утра в зеркало и вообще ничего делать не хочется.

Продолжение следует...

Подписывайтесь на группу ВК

George Goodwin Kilburne - Penning A Letter. Источник

среда, 20 февраля 2019 г.

ПДн. Постановление Правительства РФ от 13.02.2019 N 146

Добрый день, дорогие читатели! 23 февраля вступает в силу Постановление Правительства РФ от 13.02.2019 N 146 "Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных". Ранее документа такого уровня не существовало. 

В 2009 году был издан первый «Административный регламент проведения проверок Федеральной службой в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных» (утвержден приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 1 декабря 2009 г. № 630). В 2011 году он был заменен на ныне действующий «Административный регламент исполнения федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства российской федерации в области персональных данных» (утвержден приказом Минкомсвязи России от 14 ноября 2011 г. № 312). В 2014-м в него дважды вносились изменения (приказами Минкомсвязи России от 08.10.2014 № 340 и от 24.11.2014 № 403).

Давайте разберемся, что изменилось в правах и обязанностях Роскомнадзора по отношению к операторам персональных данных.
1. Явно обозначено, что правила не распространяются на 19 статью ФЗ "О персональных данных".
2. В п. 7 обозначены случаи, в которых плановая проверка может проводиться чаще: раз в 2 года.
3. Проверка проводится на соответствие статье 18.1 ФЗ "О персональных данных".
4. Уменьшен срок проведения внеплановых проверок до 10 дней, может быть продолжена на 10 дней (было 20+20). Зато увеличен срок для организаций, расположенных в нескольких регионах - до 60 дней.
5. Внеплановая проверка не может быть документарной.
6. Срок предоставления документов по документарной проверке сократился с 10 до 5 дней.
7. Пояснения по документарной проверке теперь нужно отправить за 3 дня, а не за 10.
8. Подробно рассмотрен случай воспрепятствования выездной проверке (п. 36-40).
9. ВАЖНО!
БЫЛО:
6.7. Направлять заявление в орган, осуществляющий лицензирование деятельности Оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности предусмотрен запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных.
6.8. Принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушениями требований законодательства Российской Федерации в области персональных данных.
СТАЛО:
50. В случае если неисполнение предписания об устранении выявленных нарушений нарушает права и законные интересы субъекта (субъектов) персональных данных, оператору направляется требование о приостановлении деятельности по обработке персональных данных до устранения нарушений, указанных в предписании.
10. X раздел посвящен контролю без взаимодействия с оператором (мониторинг ресурсов в сети Интернет).


Резюме
Появился новый нормативный документ, регламентирующий проведение проверок в области персональных данных, который вступает в силу 23 февраля 2019 года. Это уже не административный регламент, а Постановление Правительства. Скорее всего, регламент будет приведен в соответствие с Постановлением в ближайшем будущем. На мой взгляд, наиболее интересен 50 пункт в части своей формулировки о приостановлении деятельности оператора. Ну и исчезновение документарных внеплановых проверок стоит отметить. В остальном изменились детали.

Вы можете также ознакомиться с обзорами Сергея Борисова и Михаила Емельянникова.

Вступайте в группу ВК: https://vk.com/kshudrova - здесь ведутся интересные обсуждения и Вы можете задавать вопросы.
Г.Г. Нисский «Февраль. Подмосковье». Источник

пятница, 1 февраля 2019 г.

Почему специалисты по ИБ получают так мало?

Добрый день, дорогие читатели! Очень часто мне приходят вопросы по поводу зарплаты и трудоустройства специалистов. Причем спрашивают в основном недавние выпускники, студенты, а иногда и люди, которые только задумались над тем, чтобы построить карьеру в сфере информационной безопасности. Всех возмущает одно и то же: мало вакансий, низкая зарплата. А программисты сколько получают?! ООО, АААА! Хотим столько же! Это понятно и это нормально. Но давайте подумаем, почему же так происходит. Почему специалисту по защите информации в регионе часто предлагают зарплату в 25-30 тысяч? Нельзя экономить на безопасности! Или можно?

Когда находишься внутри отрасли, то начинает казаться, что все вокруг связано с твоей профессией. Я думаю, что любой нормальный специалист считает свою работу очень важной и нужной. Если бы не мы, то не было бы ничего! Поэтому чтобы оценить стоимость своих услуг нужно абстрагироваться.

Мне кажется, для небольших предприятий можно провести следующую аналогию.

Хозяин кулинарии хочет, чтобы повар пек булочки и пироги. 
Повар: "Хорошо! Только нам нужен человек, который будет следить, чтобы мои руки были чистыми и волосы не торчали из шапочки." 
Хозяин: "Ты что сам не можешь следить за своими руками?! Если наймем еще одного человека, придется повысить цены, мы потеряем покупателей!"
Итог: никого не наймут. 

Как Вы понимаете, повар - это айтишник, на которого навешивают некоторые функции по информационной безопасности. Максимум, чего он сможет добиться - это получить доплату за совмещение. И это нормально. Надо признать, что специалист по защите информации, а уж тем более целый отдел - это роскошь, часто непозволительная. Когда небольшая организация переживает сытые времена, она может нанять такого специалиста просто чтобы было. Но в итоге человека смывает первая же волна сокращений.

Повар: "Давайте все-таки наймем человека! Я постоянно забываю помыть руки и надеть шапку!"
Хозяин: "Хорошо, но пусть он еще полы моет и одежду стирает".
Итог: наймут многостаночника.

Сто лет назад я работала единственным специалистом по защите информации в одной организации краевого масштаба. Ставка появилась, потому что было круто иметь такого специалиста в штате. Потом в организацию пришел кризис и она стала отказываться от служебного автобуса, пресс-секретаря, собственного учебного центра. Конечно, меня тоже взяли на карандаш. Удалось остаться лишь благодаря тому, что я совмещала ИБ и много чего еще: видеонаблюдение, бюро пропусков, ИТ-сопровождение закупок, ведение корпоративного сайта и т.д. и т.п. Мне кажется, что единственно возможный путь к успеху в небольшой организации - не ограничиваться узкой специализацией. Если вы приносите пользу в тех областях, которые руководство понимает, то и мало-мальский бюджет на ИБ получите. По-крайней мере не уволят.

Если небольшую зарплату в небольших организациях можно понять, то почему она часто такая же невысокая в организациях средних и крупных? 
Руководство воспринимает информационную безопасность как нечто само собой разумеющееся. Корпоративная сеть должна работать как часы.

Хозяин: "Почему в булочках попадаются волосы?! На вас жалуются!"
Повар 1: "Я надевал шапку".
Повар 2: "И я надеваю шапку. Кажется".
Повар 3: "Я свою шапку не нашел".
Итог: нанимают человека, который будет следить за мытьем рук и надеванием шапок.

Понятно, что зарплата у такого "смотрящего" будет невысокая. Потому что для хозяина самое важное - это производство булочек, а не присмотр за поварами.

А где же тогда высокие зарплаты? Это очевидно. Там где информация стоит дорого или последствия утечек могут быть фатальными. 

Хозяин: "Наши булочки лучше, чем у конкурентов. Я хочу, чтобы вы сохранили наш рецепт в секрете. Мне кажется, некоторые повара хотят открыть собственные кулинарии и использовать наши наработки". 
Специалист по ИБ: "Я столько лет следил за поварами и их шапками. Вы можете мне доверять".

Happy end
Источник
Подписывайтесь на страницу ВК: https://vk.com/kshudrova

вторник, 29 января 2019 г.

Судебная практика. Персональные данные. Часть 1

Судебное решение №1
Гражданин  обратился в ООО «***» за справкой для нотариуса, содержащую сведения о последнем месте регистрации его умершей супруги. За выдачу указанной справки с него было взято 500 рублей.
Решение: штраф в размере 20.000 рублей.

Судебное решение №2
18.01.2018 года гражданин обратился в ОАО «***» с письменной претензией, в которой содержались его персональные данные, а именно ФИО, адрес проживания, номер телефона, подпись. 19.01.2018 года указанная претензия, в нарушение Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных», была распечатана на формате А3 и развешена по территории ОАО «***».
Решение: штраф в размере 25.000 рублей.

Судебное решение №3
На двери кабинета детской городской поликлиники были обнародованы персональные данные детей (ФИО, год рождения, адрес проживания).
Решение: штраф в размере 4 000 рублей.

Продолжение следует...

Игорь Разживин. Зачарованный лес. Источник

Подписывайтесь на страницу ВК: https://vk.com/kshudrova

среда, 16 января 2019 г.

C чего начать изучение КИИ?

Добрый день, дорогие читатели! Недавно в группе ВК завершился опрос о том, какой пост должен выйти первым. Вы выбрали тему КИИ. Что же, с нее и начнем. Остальные темы будут позже.
Критическая информационная инфраструктура - объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.
Начать изучение темы стоит, конечно, с чтения законодательства:

  • Федеральный закон от 26.07.2017 N 187-ФЗ  «О безопасности критической информационной инфраструктуры Российской Федерации»;
  • Федеральный закон от 26.07.2017 N 193-ФЗ  «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации»;
  • Указ Президента Российской Федерации от 2 марта 2018 г. N 98 «О внесении изменения в перечень сведений, отнесенных к государственной тайне, утвержденный Указом Президента Российской Федерации от 30 ноября 1995 г. N 1203»;
  • Указ Президента Российской Федерации от 25 ноября 2017 г. N 569 «О внесении изменений в Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента Российской Федерации от 16 августа 2004 г. N 1085»;
  • Постановление Правительства РФ от 17 февраля 2018 г. N 162 «Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»;
  • Постановление Правительства РФ от 8 февраля 2018 г. N 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»;
  • Приказ ФСТЭК РФ от 9 августа 2018 г. N 138 «О внесении изменений в Требования к  обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 14 марта 2014 г. N 31, и в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. N 239»;
  • Приказ ФСТЭК России от 25 декабря 2017 г. N 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»;
  • Приказ ФСТЭК России от 22 декабря 2017 г. N 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий»;
  • Приказ ФСТЭК России от 21 декабря 2017 г. N 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования»;
  • Приказ ФСТЭК России от 6 декабря 2017 г. N 227 «Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации»;
  • Приказ ФСТЭК России от 14 марта 2014 г. N 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»;
  • Информационное сообщение ФСТЭК России от 24 августа 2018 г. N 240/25/3752 «По вопросам представления перечней объектов критической информационной инфраструктуры, подлежащих категорированию, и направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий»;
  • Информационное сообщение ФСТЭК России от 4 мая 2018 г. N 240/22/2339 «О методических документах по вопросам обеспечения безопасности информации в ключевых системах информационной инфраструктуры Российской Федерации»;
  • Приказ ФСБ России от 24.07.2018 N 368 «Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения»;
  • Приказ ФСБ России от 24.07.2018 N 367 «Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»;
  • Приказ ФСБ России от 24.07.2018 N 366 «О Национальном координационном центре по компьютерным инцидентам"(вместе с "Положением о Национальном координационном центре по компьютерным инцидентам")».
После изучения законодательства появятся вопросы, я рекомендую следующие ресурсы компетентных специалистов:
Когда Вам захочется поделиться своим мнением и задать вопрос, можно вступить в группу по интересам
Думаю, для начала изучения темы вполне достаточно!
Если Вы хотите поделиться интересными ресурсами по теме КИИ пишите в комментарии, а также в группу ВК: https://vk.com/kshudrova.

Картина маслом на холсте. Паутов Игорь. Русская тройка
Игорь Паутов. Русская тройка. Источник