вторник, 13 февраля 2018 г.

Скидка 10% для участия в Код ИБ ПРОФИ

Добрый день, дорогие читатели! Хочу поделиться с вами скидкой на участие в конференции Код ИБ Профи, которая пройдет с 1-4 марта в Москве. 
Список докладчиков впечатляет! Здесь вам и Алексей Волков (который выступает редко и по делу) и Алексей Лукацкий (которого всегда интересно слушать), Дмитрий Мананников (профессионально преподает и отлично выступает), Алексей Комаров (мы все читаем злонов), Алекс Смирнов, Лев Шумский, Антон Карпов и многие другие. Перечислила бы всех, но малыш проснется и я не успею дописать пост :) В общем, пройдет 32 мастер-класса! Жаль, что выступления будут идти в 4 потока - физически невозможно будет услышать и увидеть всех. Но в любой билет входят презентации, видеозаписи и материалы! Всего есть три варианта участия. Первый предполагает покупку материалов конференции, второй - участие в 2х днях деловой части, третий - деловая часть плюс двухдневное приключение.


С организаторами Код ИБ мы уже давно сотрудничаем - это отличная команда! Мне посчастливилось выступить на их конференциях в трех городах: Красноярск, Новосибирск и Иркутск. Надеюсь, этот список будет пополняться со временем. И мы с вами точно встретимся на конференции в октябре :)

пятница, 2 февраля 2018 г.

Кейс-чемпионат по ИБ 2018


Добрый день, дорогие читатели! Дождались! Ура!!! Команда RISC приглашает студентов и аспирантов участвовать в III всероссийском кейс-чемпионате по информационной безопасности! 

Регистрация здесь.
В прошлом чемпионате участвовали более 100 команд из крупнейших вузов России! Если вы еще сомневаетесь: участвовать или нет, то почитайте, как это было в 2015 году  здесь, а также здесь про 2014 год. Официальная страница мероприятия.

О мероприятии 2015 года в двух словах:
На данный момент кейс-чемпионат – единственный в своем роде конкурс для ИБ-специалистов, который проводится в формате case-studies. В финале студенты решают практический кейс по информационной безопасности на время и защищают свой проект перед судейской коллегией. В этом году ребят оценивали CISO ведущих российских компаний: специалисты из «Аэроэкспресс», Yandex, «Объединенной компании Дом.ru «InterZet», «Ленты», компаний «Транснефть-Балтика» и «Силовые машины». Финал чемпионата по ИБ прошел при поддержке и участии компаний «Альтирикс системс», Deiteriy, ОКБ САПР, Infowatch, Acronis, «Академии информационных систем», Hewlett Packard Enterprise, а также «Объединенной компании Дом.ru «InterZet».

В 2018 будет еще круче!

Как жаль, что в годы моей учебы таких мероприятий не было, обязательно приняла бы участие! Ну что ж, придется быть в команде организаторов :)
Всех ждем!

С уважением, руководитель Красноярского отделения RISC 
Ксения Шудрова

вторник, 30 января 2018 г.

Клубы по информационной безопасности

Добрый день, дорогие читатели! Сегодня я хочу поделиться с вами своей памяткой по всевозможным объединениям, ассоциациям и клубам специалистов по информационной безопасности. Надеюсь, что эта информация будет для вас полезной!
*Все описания взяты с сайтов сообществ, при выявлении неточностей прошу сообщить мне, ошибка будет обязательно исправлена. Также пишите контакты клубов, которые не указаны, они будут добавлены в заметку.

Бесплатные
Russian Information Security Club (RISC)
Описание:
Товарищество специалистов по информационной безопасности, основанное в мае 2014 года группой энтузиастов, имеющих многолетний опыт работы в этой области. Штаб товарищества RISC находится в Санкт-Петербурге. Я возглавляю Красноярское отделение RISC.
Сайт:
Как вступить:
Чтобы стать членом товарищества RISC достаточно вступить в нашу группу на Facebook.

Business Information Security (BISA)
Описание:
Сообщество BISA объединяет профессионалов в области информационной безопасности, руководителей бизнес подразделений, представителей регуляторов и других специалистов, заинтересованных в развитии информационной безопасности в России и мире.
Сайт:
http://bis-expert.ru/
Как вступить:
Для того чтобы стать участником сообщества BISA необходимо заполнить форму регистрации и подать заявку на заведение блога.

Клуб Информационной Безопасности, Information Security Club
Описание:
Информационно-коммуникационная площадка для всего сообщества в сфере информационной безопасности.
Сайт:
https://xakspace.ru/
Как вступить:
Стать участником сообщества может каждый желающий, пройдя простую процедуру регистрации.

CTF (Capture the flag)
Командная игра, главной целью которой является захват «флага» у соперника. Соревнования формата CTF могут проходить удалённо (в сети) и очно. В первом случае команды соревнуются через интернет, находясь в разных точках мира. Такие соревнования чаще всего длятся больше суток в формате нон-стоп. На очных соревнованиях команды собираются в одном месте каждая за своим столом. Такие соревнования длятся семь — восемь часов, а то и больше. Часто практикуется совмещение форматов: например, отборочные этапы на некоторые СTF-соревнования проходят в сети, а финал — очно в городе организаторов соревнований. Победа в отборочном туре онлайн даёт команде право участвовать на очном этапе соревнований.
Сайт:
Как вступить:
Можно участвовать в мероприятиях, которые проводят клубы по всей стране: https://ctfnews.ru/competitions/ или организовать свой клуб https://ctfnews.ru/making-ctf/.
Дальний Восток: http://fareastctf.ru/
Алтайский край: http://altayctf.aciso.ru/
Краснодар: https://kubanctf.ru/
Омск: http://omctf.ru/
Екатеринбург: https://ructf.org/
Москва: http://mctf.aciso.ru/
Екатеринбург: http://qctf.ru/
Москва: http://ctf.cs.msu.ru/
Красноярск: http://krasctf.ru/
Новосибирск: https://vk.com/winterctf (nskctf.ru) – здесь 7 февраля я выступаю с онлайн-лекцией о персональных данных.

PCIDSS.RU
Описание:
Сообщество профессионалов PCIDSS.RU является некоммерческой организацией, которая открыта для каждого, кто хотел бы поделиться с коллегами актуальной информацией, касающейся стандарта PCI DSS, в виде аналитических материалов, мнений, исследований или любым другим образом принять участие в работе Сообщества.
Сайт:
Как вступить:
Для присоединения к Меморандуму и членства в Сообществе PCIDSS.RU необходимо направить заявку в адрес учредителей.

Социальные сети
https://www.facebook.com/groups/RusCyberSec/- Кибербезопасность АСУ ТП
https://telegram.me/RuScadaSec - RUSCADASEC / - Кибербезопасность АСУ ТП
https://www.facebook.com/groups/InfSecCyberSec/ - ИБ и кибербезопасность
https://vk.com/kshudrova - про персональные данные (немножко саморекламы)

Платные
Ассоциация руководителей служб информационной безопасности (АРСИБ)
Описание:
Межрегиональная общественная организация создана решением инициативной группы в 2010 году (свидетельство о регистрации № 117799000660). В состав инициативной группы вошли руководители и специалисты подразделений предприятий различных отраслей промышленности, представители профессиональных общественных объединений. На момент формирования Ассоциации о заинтересованности ее создания и участие в работе внутри нее изъявили около 50 руководителей и специалистов подразделений ИБ, в том числе и специалисты из соседних государств.
Сайт:
Как вступить:
Подробная процедура описана здесь. Стоимость - 3000 рублей (в год).

Ассоциация защиты информации (АЗИ)
Описание:
Межрегиональная общественная организация «Ассоциация защиты информации» (АЗИ) образована в 2002 году по инициативе ФАПСИ и Гостехкомиссии России. Деятельность АЗИ направлена на создание благоприятных условий для реализации потребностей граждан, бизнеса и органов государственной власти в технологиях защиты информации.
Сайт:
Как вступить:
Порядок вступления описан здесь: http://azi.ru/poryadok-vstupleniya/. Стоимость - 50000 рублей (в год). Участниками могут быть как физические, так и юридические лица.

ISACA (Information Systems Audit and Control Association)
ISACA (ранее полностью – Information Systems Audit and Control Association) является международной ассоциацией профессионалов в области управления ИТ. Деятельность ассоциации фокусируется на аудите, безопасности и корпоративном управлении.
Сайт:
Как вступить:
Все описано здесь (на английском). Стоимость вступления – 135$+10$+35$=175$. Устав

Российская Криптологическая Ассоциация, впоследствии «РусКрипто»
Описание:
24 декабря 1999 года на первой международной конференции «РусКрипто» было принято решение о создании Российской Криптологической Ассоциации, впоследствии «РусКрипто» — организации, объединяющей всех тех, кто заинтересован в развитии открытой криптографии в России и гармоничной интеграции России в мировое информационное сообщество.
Сайт:
Как вступить:
Видимо, вступить можно, приняв участие в конференции. Стоимость участия – 36000 руб. (25000 руб. – льготное участие).

Не действует
Russian Information Systems Security Professional Association (RISSPA)
Описание:
Ассоциация профессионалов в области информационной безопасности RISSPA создана в июне 2006 года под эгидой консорциума (ISC)2 и имеет официальный статус ALIG (Affiliated Local Interest Group). Основные цели RISSPA - формирование сообщества профессионалов в области информационной безопасности, предоставление возможностей для обмена новыми идеями и опытом, популяризация идей информационной безопасности, а также повышение уровня знаний специалистов.
Сайт:
http://risspa.org/
Как вступить:
На сайте ассоциации указано: чтобы вступить в ассоциацию RISSPA достаточно присоединиться к группе в LinkedIn (заблокирован на территории РФ). Отслеживать новости и события можно также на страницах в Facebook и Telegram

ЗЫ. В ходе подготовки материала я очень часто натыкалась на клубы, которые были активны раньше и перестали существовать. О двух таких писал Лукацкий здесь и здесь. Можно сказать, что определенный дефицит сообществ есть, особенно в регионах. Но некоммерческие организации с трудом существуют на одном только энтузиазме, членство в коммерческих не всем по карману. Также не стоит забывать о существовании негласного сообщества специалистов. Люди общаются в группах и на личных страницах (в Facebook, Telegram, ВК и т.п.), на мероприятиях. Часто человека добавляешь в друзья просто на основании пометки «N общих друзей с …» - значит, свой.

Дополнение от 13.02.2018
По результатам обсуждения с коллегами были добавлены следующие организации:

ISC2
(ISC)² is an international, nonprofit membership association for information security leaders like you. We’re committed to helping our members learn, grow and thrive. More than 130,000 certified members strong, we empower professionals who touch every aspect of information security. 
Сайт:
https://community.isc2.org/
Как вступить:
Порядок прохождения сертификации указан здесь: https://www.isc2.org/Certifications.

EC-Council
International Council of E-Commerce Consultants, also known as EC-Council, is the world’s largest cyber security technical certification body. We operate in 145 countries globally and we are the owner and developer of the world-famous Certified Ethical Hacker (CEH), Computer Hacking Forensics Investigator (C|HFI), Certified Security Analyst (ECSA), License Penetration Testing (Practical) programs, among others. We are proud to have trained and certified over 200,000 information security professionals globally that have influenced the cyber security mindset of countless organizations worldwide.
Сайт:
https://www.eccouncil.org/
Как вступить:
Порядок прохождения сертификации указан здесь: https://www.eccouncil.org/get-certified/.

DEFCON RUSSIA
Локальная тусовка, официальная група DEFCON в России.
Сайт:
https://defcon-russia.ru/
Как вступить:
Есть группа ВКонтакте: https://vk.com/defconrussia. 

OWASP Russia
OWASP Foundation (Overview Slides) is a professional association of global members and is open to anyone interested in learning more about software security. Local chapters are run independently and guided by the Chapter_Leader_Handbook. As a 501(c)(3) non-profit professional association your support and sponsorship of any meeting venue and/or refreshments is tax-deductible. Financial contributions should only be made online using the authorized online chapter donation button. To be a SPEAKER at ANY OWASP Chapter in the world simply review the speaker agreement and then contact the local chapter leader with details of what OWASP PROJECT, independent research or related software security topic you would like to present on.
Сайт:
https://www.owasp.org/index.php/Russia
Как вступить:
Порядок вступления описан на сайте организации:
Существует множество способов поучаствовать в жизни российского отделения OWASP:

  • Участие в любом из активных проектов (в т.ч. написание утилит и документации);
  • Предложение новых проектов;
  • Переводы существующих гайдов на русский язык;
  • Участие и обсуждение идей в рассылке;
  • Помощь в организации конференций и собраний;
  • Продвижение и поддержка проекта OWASP в целом.

среда, 20 декабря 2017 г.

Проверки Роскомнадзора по персональным данным

Добрый вечер, дорогие читатели! Вышла вторая часть моей статьи о проверках по персональным данным, на этот раз речь идет о том, как проходят проверки, а также составлен примерный перечень документов первой необходимости.
Обе части статьи находятся в открытом доступе:

Приятного чтения!

Петр Козлов, «Старые игрушки». Источник

Присоединяйтесь к моей странице ВК: https://vk.com/kshudrova.

пятница, 15 декабря 2017 г.

Почему нужно защищать персональные данные?

Добрый день, дорогие читатели! Сегодня я хотела бы поговорить с вами на одну очень важную тему - "Зачем защищать персональные данные?" Такой вопрос задают себе и другим не только люди, далекие от информационной безопасности, но и матерые специалисты в этой области. К примеру, Алексей Лукацкий в своем сентябрьском посте приходит к выводу о том, что эта тема для него лично не интересна. Думаю, мысли о том, что вся эта возня с персональными данными бессмысленна, приходят, приходили и будут приходить к каждому из тех, кто этим занимается. Причин тому несколько: формальный подход регулятора, низкая вероятность проверки, маленькие штрафы и неоднозначная судебная практика. Специалисту постоянно приходится доказывать руководству необходимость защиты персональных данных, хотя и у него самого на этот счет имеются большие сомнения. Вот чтобы таких мыслей стало меньше, давайте разберемся, зачем все-таки защищать персональные данные?
1. Каждый из нас является субъектом персональных данных. На мой взгляд, относиться к чужой личной информации бережно нужно хотя бы из солидарности. И потом, закон появился только в 2006 году, а понимание неприкосновенности некоторы персональных данных было задолго до этого. К примеру, размер зарплат руководства охраняют на всех предприятиях в независимости от того, признает ли организация у себя наличие ИСПДн.
2. Игнорирование мер безопасности может привести к утечкам, а те, в свою очередь, к репутационным рискам. Для крупных, а тем более международных организаций, это критично.
3. Иногда нужно выполнять требования головной организации, тогда филиалам не остается ничего другого, как заняться защитой персональных данных по шаблонам и инструкциям, спущенным сверху. 
4. Существует повышенный риск внеплановых проверок в сфере обслуживания и при наличии активно посещаемого сайта. Вероятность поступления жалобы на банк, больницу, школу или институт с течением времени стремится к единице. Поэтому лучше принять меры заранее, чем получить штраф и в конечном итоге все-таки выполнить все требования регулятора.
5. Наличие у организации лицензий в сфере ИБ. Ситуация сапожника без сапог, на мой взгляд, абсолютно недопустима.
6. Законодательство в сфере персональных данных постепенно идет в сторону ужесточения, увеличения штрафов, формируется судебная практика, поэтому начать заниматься защитой персональных данных нужно как можно раньше, так как процесс оформления полного комплекта документов для ИСПДн не быстрый.
7. Персональные данные часто пересекаются с другими видами тайн, например, с банковской или врачебной, иногда - с коммерческой тайной. Защищая одно, придется защитить и другое.
8. При проведении аудита ИСПДн можно найти много неоптимальных, а иногда и опасных бизнес-процессов (отправка документов на нерабочую электронную почту, вынос флешек за пределы контролируемой зоны).
9. В последнее время можно отдельно выделить такую причину, как желание организации присоединиться к Кодексу добросовестных практик.
10. Защита персональных данных в организации создает потенциальную возможность наказать и даже уволить работника за нарушения в этой сфере, что иногда бывает полезным.
11. Все чаще при оформлении договоров между двумя организациями особое внимание обращают на выполнение взаимных обязательств по защите полученных в ходе взаимодействия персональных данных.
12. Ну и в качестве последней причины я бы указала защиту персональных данных, как самоцель, с целью получения денег за свои услуги в этой области.

А как считаете Вы?

Андо Хиросигэ «Атагосита улица Ябукодзи». Источник

https://vk.com/kshudrova - присоединяйтесь к групп ВКонтакте. Здесь ссылки на свежие посты, новости мира ИБ и интересные статьи других авторов, а также обсуждения наболевших вопросов.


вторник, 14 ноября 2017 г.

Проверки Роскомнадзора по персональным данным. Часть 1

Добрый день, дорогие читатели! Вышла в свет моя новая статья по теме защиты персональных данных, на этот раз она посвящена проверкам Роскомнадзора. Ознакомиться со статьей в открытом доступе можно здесь
Также я хочу поделиться с вами полными версиями таблиц, представленных в тексте.

Таблица 1



Граждане
Должностные лица
Индивидуальные предприниматели
Юридические лица
1
Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных п.2, если эти действия не содержат уголовно наказуемого деяния.
предупреждение или наложение административного штрафа в размере от 1000 до 3000 рублей;

предупреждение или наложение административного штрафа в размере от 5000 до 10.000 рублей;
не указано
предупреждение или наложение административного штрафа в размере от 30.000 до 50.000 рублей.
2
Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных,
наложение административного штрафа в размере от 3000 до 5000 рублей;

наложение административного штрафа в размере от 10.000 до 20.000рублей;
не указано
наложение административного штрафа в размере от 15.000 до 75.000 рублей.
3
Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных
предупреждение или наложение административного штрафа в размере от 700 до 1500 рублей;
предупреждение или наложение административного штрафа в размере от 3000 до 6000 рублей;
предупреждение или наложение административного штрафа в размере от 5000 до 10.000 рублей;
предупреждение или наложение административного штрафа в размере от 15.000 до 30.000 рублей
4
Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, -
предупреждение или наложение административного штрафа в размере от 1000 до 2000 рублей;
предупреждение или наложение административного штрафа в размере от 4000 до 6000 рублей;
предупреждение или наложение административного штрафа в размере от 10.000 до 15.000 рублей;
предупреждение или наложение административного штрафа в размере от 20.000 до 40.000 рублей.
5
Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
предупреждение или наложение административного штрафа в размере от 1000 до 2000 рублей;
предупреждение или наложение административного штрафа в размере от 4000 до 10.000 рублей;
предупреждение или наложение административного штрафа в размере от 10.000 до 20.000 рублей;
предупреждение или наложение административного штрафа в размере от 25.000 до 45.000 рублей.
6
Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния.
наложение административного штрафа в размере от семисот до двух тысяч рублей;
наложение административного штрафа в размере от 4000 до 10.000 рублей;
наложение административного штрафа в размере от 10.000 до 20.000 рублей;
наложение административного штрафа в размере от 25.000 до 50.000 рублей.
7
Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных.
предупреждение или наложение административного штрафа в размере от 3000 до 6000 рублей.

не указано
не указано
не указано
Таблица 2
Нарушение
Краткое описание
2016
2017
Нормы законодательства
1
Представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения
Уведомление об обработке персональных данных
+
+
В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.
(Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» ст. 22, п. 6)
2
Непредставление в уполномоченный орган сведений о прекращении обработки персональных данных или об изменении информации, содержащейся в уведомлении об обработке персональных данных
Уведомление об обработке персональных данных
+

В случае изменения сведений, указанных в части 3 настоящей статьи, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.
(Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» ст. 22, п. 7)
3
Отсутствие у оператора места (мест) хранения персональных данных (материальных носителей), перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ
Места хранения персональных данных
+

Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ (Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», п. 13)
4
Отсутствие в поручении лицу, ответственному за обработку персональных данных, обязанности соблюдения конфиденциальности персональных данных и обеспечения их безопасности, а также требований к защите обрабатываемых персональных данных
Соблюдение конфиденциальности персональных данных


+
+
Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.
(Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных», ст. 6, п. 3)
5
Обработка персональных данных в случаях, не предусмотренных Федеральным законом
Незаконная обработка персональных данных
+

Обработка персональных данных должна осуществляться на законной и справедливой основе.
(Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных», ст. 5, п. 1)
6
Несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства Российской Федерации
Согласие на обработку персональных данных
+
+
В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности: …
 (Федеральный закон от 27.07.2006 N 152-ФЗ  «О персональных данных» ст. 9, п. 4)
7
Непринятие оператором мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами
Меры по обеспечению выполнения обязанностей
+
+
1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться:
(Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» ст. 18.1, п. 1)
8
Непринятие оператором, являющимся юридическим лицом, мер по назначению ответственного за организацию обработки персональных данных
Лицо, ответственное за организацию обработки персональных данных

+
Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться:
1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;
(Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных», п. 1, ст. 18.1)
9
Невыполнение в установленный срок законного предписания органа (должностного лица) Уполномоченного органа по защите прав субъектов персональных данных, осуществляющего государственный надзор (контроль), об устранении нарушений законодательства Российской Федерации в области персональных данных
Предписания

+

Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), муниципальный контроль, об устранении нарушений законодательства -влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от десяти тысяч до двадцати тысяч рублей.
(«Кодекс Российской Федерации об административных правонарушениях" от 30.12.2001 N 195-ФЗ», п. 1 ст. 19.5)
10
Несоответствие типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, требованиям законодательства Российской Федерации
Типовые формы документов

+
При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:…
(Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», п. 7)


https://vk.com/kshudrova - подписывайтесь на страницу блога ВКонтакте. Здесь ссылки на свежие посты, новости мира ИБ и интересные статьи других авторов.