Свежий ветер? Интервью заместителя руководителя Роскомнадзора

Добрый день, дорогие читатели! 17 июня на сайте Роскомнадзора появилось интервью заместителя руководителя Антонины Приезжевой (далее - А.П.) о новой стратегии ведомства- ссылка. В своем майском посте я уже писала об инициативах Роскомнадзора (ссылка).

Кратко укажу основные моменты, затронутые в интервью (вольный пересказ):

 

Об основных направлениях работы...

А.П. выделяет три основных направления работы ведомства:

• усиление полномочий органа по защите прав субъектов ПД,
• активное проведение работы по защите данных в сети Интернет,
• информационно-образовательная деятельность.

 

Об основных видах нарушений...

• Для банковской сферы характерна передача личной информации клиентов и их поручителей коллекторам без должных на то оснований.
• Для образовательных учреждений характерно незаконное размещение списков учащихся в открытом доступе.
• Для операторов связи - утечки персональных данных (разовые нарушения).

 

Об изменениях законодательства...

Для повышения оперативности реагирования на нарушения в сфере персональных данных Роскомнадзор инициировал ряд поправок в Федеральный закон № 294-ФЗ , а также в Кодекс РФ об административных правонарушениях. В настоящее время законопроекты проходят процедуру оценки, а по Плану законопроектной деятельности подлежат внесению в Правительство Российской Федерации в сентябре 2014 года.

 

О сотрудничестве...

В апреле Роскомнадзор, Федеральная служба судебных приставов и Центральная избирательная комиссия подписали соглашение о сотрудничестве в сфере защиты прав субъектов персональных данных. В настоящее время подтвердил свое намерение к нему подключиться Рособрнадзор. ФМС России выразила желание отразить особенности взаимодействия в двух стороннем порядке (по результатам переговоров будет составлено межведомственное соглашение).

 

Об образовании...

А.П. упоминает о проблеме дефицита квалифицированных профессионалов отрасли. Роскомнадзором ведутся переговоры с вузами о возможности подготовки образовательных программ в области персональных данных.

 

О сознательности граждан...

В рамках информационно-разъяснительной работы Роскомнадзор планирует ввести практику проведения дня открытых дверей для всех заинтересованных лиц (в том числе субъектов ПДн). Также готовится научно-практический комментарий к Федеральному закону «О персональных данных», рекомендованный не только для специалистов, но и для широкой публики.

 

Источник: http://pd.rkn.gov.ru/press-service/subject3/news4189.htm

 

 

Ну и в завершении поста - картина-впечатление - свежий ветер, девушка, лето:

 

В. Гусев "Свежий ветер". Источник

 

 

10 блогов по информационной безопасности

Добрый вечер, дорогие читатели! Блогов по информационной безопасности в последнее время стало очень много, следить за их обновлениями довольно сложно, если Вы еще не решили, кого читать в первую очередь, могу порекомендовать свой хит-лист. Итак, 10 блогов, которые я читаю чаще всего:

http://anvolkov.blogspot.ru/ - Безопасность для понимающих и не очень.
http://emeliyannikov.blogspot.ru/ - Рецепты безопасности от Емельянникова.
http://www.tsarev.biz/ - Информационная безопасность по-русски.
http://www.lukatsky.blogspot.ru/ - Бизнес без опасности.
http://80na20.blogspot.ru/ - Жизнь 80 на 20.
http://rusrim.blogspot.ru/ - Кто не идет вперед, тот идет назад.
http://sborisov.blogspot.ru/ - Блог Сергея Борисова про ИБ.
http://xpomob.blogspot.ru/ - Ригельз дыбр.
http://secinsight.blogspot.ru/ - Security Insight - Блог Александра Бондаренко.
http://personal-data.livejournal.com/ -  Персональные данные. Правоприменение.

А кого читаете Вы? 

Информационное сообщение ФСТЭК России по 17 и 21 приказам (часть 3)

Добрый день, дорогие читатели! Представляю Вашему вниманию третью и завершающую часть цикла постов об информационном сообщении ФСТЭК.
1 часть здесь.
2 часть здесь.

7 вопрос. Какие требования предъявляются к средствам защиты персональных данных? Каким образом отражается соответствие средств защиты информации?

В государственных информационных системах 1 и 2 классов защищенности и в информационных системах персональных данных 1, 2 уровней защищенности и 3 уровня защищенности, для которых к актуальным отнесены угрозы 2-го типа, применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.

Выбор классов защиты сертифицированных средств защиты информации осуществляется в соответствии с пунктом 26 Требований, утвержденных приказом ФСТЭК России N 17, и пунктом 12 Состава и содержания мер, утвержденных приказом ФСТЭК N 21.

Соответствие уровню контроля отсутствия недекларированных возможностей указывается в сертификатах соответствия требованиям по безопасности информации на эти средства защиты информации.

Возможность применения в государственных информационных системах соответствующего класса защищенности средств защиты информации, сертифицированных на соответствие требованиям безопасности информации, установленным в технических условиях (заданиях по безопасности), указывается заявителем (разработчиком, производителем) в эксплуатационной и конструкторской документации на эти средства (формулярах и технических условиях).

8 вопрос. Необходимо ли применять дополнительные меры защиты для нейтрализации угроз безопасности персональных данных 1-го и 2-го типов?

В соответствии с пунктом 11 Приказа 21 операторами могут применяться дополнительные меры, связанные с тестированием информационной системы на проникновения и использованием в информационной системе системного и (или) прикладного программного обеспечения, разработанного с использованием методов защищенного программирования. Указанные меры не являются обязательными и применяются по решению оператора, к тому же до разработки и утверждения ФСТЭК России методических документов по реализации указанных мер порядок их применения определяется оператором самостоятельно.

9 вопрос. Планируется ли разработка нормативных документов в целях реализации Требований, утвержденных приказом ФСТЭК N 17?

Приказ N 21 издан во исполнение части 4 статьи 19 Федерального закона «О персональных данных». Указанным Федеральным законом разработка ФСТЭК России иных документов по обеспечению безопасности персональных данных, в том числе по моделированию угроз безопасности персональных данных, не предусмотрена. Определение типов угроз безопасности персональных данных осуществляется оператором в соответствии остановлением Правительства N 1119.

ФСТЭК России завершается разработка методических документов по описанию содержания мер защиты информации в информационных системах и порядку моделирования угроз безопасности информации в информационных системах. Ориентировочный срок утверждения документов – IVквартал 2013 г. Так как рекомендации ФСТЭК написаны в 2013 году, об утвержденном документе говорится в будущем времени: ссылка.

Планируется разработка методических документов, определяющих порядок обновления программного обеспечения в аттестованных информационных системах, порядок выявления и устранения уязвимостей в информационных системах, порядок реагирования на инциденты, которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности информации, а также ряда других методических документов, направленных на реализацию требований, утвержденных приказом N 17. 

Обзорная статья по методам современного мошенничества

Добрый день, коллеги! Предлагаю Вашему вниманию свою новую статью: ссылка.

Информационное сообщение ФСТЭК России по 17 и 21 приказам (часть 2)

Добрый вечер, дорогие читатели! Предлагаю Вашему вниманию продолжение моего поста Информационном сообщении ФСТЭК России, первую часть можно прочитать здесь.

4 вопрос. Каковы границы применимости требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 № 17 в отношении муниципальных информационных систем?

Требования, утвержденные приказом ФСТЭК России N 17, распространяются на муниципальные информационные системы, если иное не предусмотрено законодательством Российской Федерации о местном самоуправлении (в частности, Федеральным законом от 6 октября 2003 г. N 131-ФЗ «Об общих принципах местного самоуправления в Российской Федерации» и принятыми в соответствии с ним иными нормативными правовыми актами Российской Федерации).

5 вопрос. Отменяет ли Приказ ФСТЭК № 17 требования СТРК-К?

СТР-К применяется в качестве методического документа при реализации мер по защите государственных информационных систем в целях нейтрализации угроз безопасности информации, связанных с защитой от утечки по техническим каналам. Иные положения СТР-К могут применяться по решению обладателей информации, заказчиков и операторов государственных информационных систем в части, не противоречащей Требованиям.

 Кроме того, положения СТР-К и РД АС по решению обладателя информации могут применяться для защиты сведений конфиденциального характера, обрабатываемых в негосударственных информационных системах.

6 вопрос. Допустимо ли применять понятие «информационная система», если в национальных стандартах в области защиты информации используется понятие «автоматизированная система»?

В Приказах ФСТЭК России N 17 и 21 используется понятие «информационная система», в иных методических документах и национальных стандартах в области защиты информации используется понятие «автоматизированная система», определенное национальным стандартом ГОСТ 34.003-90.

Исходя из родственных определений понятия «информационная система» и понятия «автоматизированная система», установленного национальным стандартом ГОСТ 34.003-90, использование в нормативных правовых актах ФСТЭК России понятия «информационная система» не влияет на конечную цель защиты информации.