понедельник, 7 октября 2019 г.

Угрозы и требования. Теория и практика. Запись вебинара

Добрый вечер, дорогие читатели! Мы с Сергеем Борисовым провели второй межблогерский вебинар. На этот раз темой была связь угроз и требований. Мой доклад был посвящен теории, а доклад Сергея - практике. Сергей сегодня уже писал о вебинаре, а также смонтировал и выложил запись.
Какие моменты вебинара я бы отметила?
1. Новая платформа решила проблемы со звуком практически для всех участников (за редким исключением).
2. Мы не смогли уложиться в заявленный час, так как было очень много вопросов. Это очень радует! Выбрать лучший вопрос было сложно, конечно, победила дружба! Но кружку получит только Мирослав. Мы уже связались с ним и получили адрес для отправки подарка.
3. Проголосовать за новую тему можно здесь.
Желаю приятного и полезного просмотра!

Вступайте в группу ВК: https://vk.com/kshudrova

четверг, 12 сентября 2019 г.

Документация по защите персональных данных

Добрый день, коллеги! Мне часто задают вопрос - какие документы нужно сделать для того, чтобы защитить персональные данные в организации. 
Начнем с Федерального закона "О персональных данных", какие документы следуют из его положений?
Порядок восстановления ПДн (пп. 7 п. 2 ст. 19 152-ФЗ). Такой документ часто требуют при проверке, но многие забывают его сделать. Это может быть часть положения о защите персональных данных;
Журнал учета действий (пп. 8 п. 2 ст. 19 152-ФЗ). Проще всего - электронный, если нужно - распечатаете;
Заключение об оценке вреда субъекту (пп. 5 п. 1 ст. 18.1 152-ФЗ). Здесь правил нет, делаете как считаете нужным;
Заключение об оценке эффективности принимаемых мер (пп. 4 п. 2 ст. 19 152-ФЗ). Нужно оценить те меры, которые приняты для защиты персональных данных: закрывают ли они актуальные угрозы;
Модель доступа к ПДн (пп. 8 п. 2 ст. 19 152-ФЗ). Полезная вещь, особенно если есть разные уровни доступа;
Модель угроз (пп. 1 п. 2 ст. 19 152-ФЗ). Если вы слушали наш совместный вебинар с Сергеем Борисовым, то знаете, что вопрос о необходимости модели угроз - спорный.;
Политика обработки персональных данных (пп. 2 п. 1 ст. 18.1 152-ФЗ). Сделайте обязательно;
Положение об обработке ПДн (пп. 2 п. 1 ст. 18.1 152-ФЗ). Сделайте обязательно;
Поручение на обработку персональных данных (п. 3, ст. 6 152-ФЗ). Понадобится, если решите передать персональные данные на обработку третьему лицу;
Порядок контроля за принимаемыми мерами безопасности (пп. 9 п. 2 ст. 19 152-ФЗ). Может быть частью положения о ПДн;
Порядок ознакомления с нормативной документацией (пп. 6 п. 1 ст. 18.1 152-ФЗ). Сделайте такой порядок и постоянно проводить ознакомление персонала, основной ошибкой является отсутствие листов ознакомления или отсутствие подписей в них;
Порядок применения правовых, организационных и технических мер по обеспечению безопасности ПДн (пп. 3 п. 1 ст. 18.1 152-ФЗ). Может быть частью положения;
Порядок реагирования на инциденты (пп. 6 п. 2 ст. 19 152-ФЗ). Может быть частью положения;
Порядок учета машинных носителей (пп. 5 п. 2 ст. 19 152-ФЗ). Лучше сделать, например, чтобы была возможность реагировать на вынос домой рабочих флешек с базами клиентов;
Приказ о назначении лица, ответственного за организацию обработки (пп. 1 п. 1 ст. 18.1 152-ФЗ). Нужно сделать;
Уведомление об обработке персональных данных (ст. 22 152-ФЗ). Скорее всего придется сделать;
Форма согласия на обработку персональных данных (ст. 9 152-ФЗ). Сделайте разные на все случаи обработки.

Теперь посмотрим Постановление Правительства РФ от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" (с изменениями и дополнениями). Будьте внимательны, оно изменялось. 
Какие документы нужно сделать?
правила обработки персональных данных. Может быть частью положения;
правила рассмотрения запросов субъектов персональных данных. Также часть положения;
правила осуществления внутреннего контроля. Часть положения;
правила работы с обезличенными данными. Не знаю, стоит ли выделять в отдельный документ;
перечень информационных систем персональных данных. Стоит сделать;
перечни персональных данных. Полезный документ, высветит интересные бизнес-процессы;
перечень должностей лиц, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных. Очень важный документ;
перечень должностей лиц, замещение которых предусматривает осуществление обработки персональных данных. Стоит сделать;
должностной регламент ответственного за организацию обработки персональных данных. Сделайте обязательно, чтобы не было путаницы, кто за что отвечает;
типовое обязательство о неразглашении. Сделайте обязательно;
типовая форма согласия на обработку персональных данных. Сделайте обязательно;
порядок доступа в помещения, в которых ведется обработка персональных данных. Сделайте.

Продолжение следует...

Валентина Михайловна Валевская. Осенний натюрморт
Вступайте в группу ВК: https://vk.com/kshudrova

среда, 4 сентября 2019 г.

Угрозы и требования. Как их подружить?

Добрый день, коллеги! В августе прошел первый совместный вебинар с Сергеем Борисовым. Запись Вы можете посмотреть здесь. По итогам вебинара Красноярским отделением сообщества RISC была разыграна кружка с логотипом за самый интересный вопрос. Победителем стал Геннадий Аносов. Он свою кружку уже получил и прислал нам подтверждающее фото. 
После вебинара мы выбирали тему нового мероприятия. И выбрали. Лучшей на наш с Сергеем взгляд является "Соответствие угроз безопасности из БДУ мерам обеспечения информационной безопасности приказов ФСТЭК N17 и N21". Мы уже связались с коллегой и также скоро отправим ему кружку. А нас с вами ждет второй вебинар.
Вебинар так и будет называться "Угрозы и требования. Теория и практика". За теорию отвечает Ксения Шудрова:) Я расскажу Вам об угрозах и требованиях в информационной безопасности вообще, о том как связывать их между собой. Мы немного абстрагируемся от конкретных требований, ведь завтра они могут измениться, также как могут появиться и новые угрозы. Рассмотрим общие подходы, которые научат вас связывать любые требования с любыми угрозами. Это будет основа для Вашей дальнейшей работы. Но зачем теория без практики? Правильно, впереди самое интересное! За практику отвечает Сергей Борисов. Он расскажет, как же все-таки связаны угрозы из bdu и требования документов из приказов ФСТЭК 21 и 17. Вы увидите уникальный контент, содержащий очень полезные таблицы соответствия. Как такое можно пропустить?
Платформа пока определяется. Ориентировочная дата - 18 сентября 2019 года. Будет обязательная предварительная регистрация. Мероприятие поддержано Красноярским отделением RISC.

Всех ждем!

Присоединяйтесь к группе ВК, чтобы не пропустить самые свежие новости: https://vk.com/kshudrova

четверг, 22 августа 2019 г.

ПДн. Сайт Роскомнадзора. Как ориентироваться?

Добрый день, коллеги! Я часто обращаюсь к официальному сайту Роскомндаздора, но даже спустя десять лет активного серфинга по нему теряюсь во вкладках. Думаю, многим такая проблема знакома. Сетевые пути к полезным ресурсам сайта зачастую весьма причудливы. Значит, пришло время поделиться с вами шпаргалкой.
1. Заходим на сайт rkn.gov.ru, далее - Персональные данные.

Здесь есть некоторые ресурсы в быстром доступе. Например, рекомендации по составлению Политики обработки ПДн. Самый полный перечень находится на странице "Портал персональных данных" https://pd.rkn.gov.ru/
2. "Портал персональных данных". На главной странице читаем новости.
3. Годовые отчеты
4. Разъяснения консультативного совета ищите здесь:
В частности, 21 сентября было опубликовано разъяснение для субъектов.
5. Обратиться в Роскомнадзор можно здесь:
Сторона, которая присоединяется к Кодексу, предварительно направляет заявление о присоединении к Кодексу, подписанное его уполномоченным представителем, в адрес уполномоченного органа по защите прав субъектов персональных данных.
7. Нормативно-правовые акты можно искать здесь:
8. Проверить состояние уведомления можно здесь:
9. Видео контент здесь:
10. Полезные материалы можно взять здесь:
 11. И здесь:
13. На сайт региональных отделений можно найти интересную информацию:

Присоединяйтесь к группе блога ВК: https://vk.com/kshudrova

понедельник, 19 августа 2019 г.

В блоге появились подборки постов по темам

Добрый день, коллеги! Сегодня на повестке дня две темы:
1. Я навела в блоге относительный порядок. Теперь все, что написано за 8+ лет можно найти отсортированным. Разделы следующие:
1. Мои публикации - названия и где это возможно ссылки на статьи в журналах.
2. Моя диссертация - названия и реквизиты научных статей.
3. Обо мне - личное.
4. Разное - все, что не про ПДн.
5. Защита ПДн - все, что про ПДн.
6. Проверки ПДн - про проверки.
7. Лица ИБ - все интервью.
8. От читателей - приглашенные авторы.

Есть посты, которые в перечни не попали. А что поделать, не все можно отнести к нетленкам)


2. Я настоятельно советую Вам принять участие в опросе на тему будущего вебинара, если Вы еще не сделали этого. Ваше мнение важно для нас!

Присоединяйтесь ВК: https://vk.com/kshudrova - группа очень активная. Здесь мы обсуждаем интересные вопросы и делимся новостями.

вторник, 13 августа 2019 г.

Запись прошедшего вебинара и опрос "Какие темы выбрать в следующий раз?"

Добрый день, коллеги! 08 августа при поддержке RISC и УЦСБ прошел мой совместный вебинар с Сергеем Борисовым. Полтора часа мы говорили о персональных данных. Не обошлось без некоторых проблем со звуком, но, к счастью, есть запись. Благодарим самых стойких участников, которые не только досмотрели вебинар до конца, но и задали интересные вопросы. Кружка RISC скоро окажется в руках Геннадия Аносова. Поздравляем! Как и было обещано, она досталась за самый интересный вопрос, у Геннадия таких вопросов было несколько. Но это еще не все! Помните, в "Магазине на диване" обычно так говорят перед появлением дополнительной насадки для суперэкстраизмельчителя. Так вот. Это еще не все! Вы можете выбрать темы следующего вебинара. Для этого необходимо принять участие в опросе. Мы придумали свои темы, но оставили также место для вашего творчества. За самую интересную тему вас ждет подарок. Еще одна кружка RISC! Ну, и самое главное - эта тема обязательно будет освещена на вебинаре. Также напомню, что участие в вебинаре абсолютно бесплатно. 

Вообще, конечно, поражает воображение мир современных технологий. Еще недавно я и представить себе не могла, что буду сидеть на кухне и проводить трансляцию на профессиональные темы. Краснодар и Красноярск - почти 5000 км разделяет эти города, а тут нажал пару кнопочек, и нет этого расстояния. Я уже не говорю о наших участниках из самых разных регионов страны. Количество желающих подключиться превысило технические возможности платформы. Это досадно, но это вдохновляет! Спасибо, коллеги, друзья, за интерес к нашей инициативе! Спасибо, что вас так много! Хочется работать еще больше, улучшать качество мероприятий. Будем стараться! 
Цель проекта - делиться знаниями онлайн. Чтобы каждый специалист из региона мог стать частью профессионального сообщества (эта цель полностью отвечает целям и задачам сообщества RISC. Вступить в него очень просто, нужно просто присоединиться к группе, членство абсолютно бесплатно). 
Лично от себя могу добавить, что жить и работать в любом городе нашей необъятной Родины - это достойно. Я люблю свой край, люблю тайгу, мороз и Сибирь в целом. Мне нравятся другие города России, некоторые удалось увидеть: Санкт-Петербург, Иркутск, Томск, Новосибирск, Сочи, Череповец, Енисейск, Абакан, само собой Москву. Другие пока в планах: Владивосток, Екатеринбург, Хабаровск, Казань, Нижний Новгород, Краснодар, Калининград. Каждый город неповторим и прекрасен! Может быть, это звучит слишком пафосно, но я приложу все свои усилия, чтобы доказать, #в_регионах_есть_иб.

Присоединяйтесь к сообществу ВК: https://vk.com/kshudrova - нас уже больше 1000.

вторник, 6 августа 2019 г.

Вебинар про персональные данные с Сергеем Борисовым


Добрый день, коллеги! В четверг 08 августа c 15:00 до 16:00 МСК пройдет наш совместный вебинар с Сергеем Борисовым. Темы, которые мы обсудим:

  • варианты моделирования угроз безопасности ПДн;
  • меры защита web сайта с ПДн;
  • проверки Роскомнадзора по ПДн;
  • судебная практика в сфере ПДн.

Ссылка длярегистрации. Регистрация обязательна! Также мы ответим на интересные вопросы участников вебинара. Всех ждем!


Подписывайтесь на группу блога ВК: https://vk.com/kshudrova