Интервью про защиту персональных данных. Будущее: оборотные штрафы, единый оператор, отзывы согласий и прочее

Доброго дня, коллеги! Сегодня я хочу поделиться с вами шпаргалкой с ответами на практические вопросы по защите персональных данных. Это Интервью для CISOCLUB.

Отвечаю на следующие вопросы:
1.     Какие нормативно-правовые акты регулируют защиту персональных данных в России?
2.     Какие изменения и нововведения в нормативно-правовых актах РФ относительно защиты персональных данных произошли в последнее время?
3.     Как правильно построить модель угроз и нарушителя для защиты персональных данных в соответствии с требованиями российского законодательства?
4.     Какие технические и организационные меры наиболее эффективны для обеспечения безопасности персональных данных?
5.     Насколько актуально создание единого оператора персональных данных в России, и какие преимущества и риски это может принести?
6.     Какие юридические аспекты необходимо учитывать при получении согласия на обработку персональных данных, чтобы избежать правовых рисков?
7.     Насколько эффективен механизм отзыва согласий на обработку ПДн с помощью Госуслуг?
8.     Каковы правовые и практические последствия массового отзыва согласий на обработку персональных данных?
9.     Какие меры можно принять для минимизации рисков утечек персональных данных и предотвращения звонков мошенников?
10.  Каковы последствия предусмотрены для организаций за утечки персональных данных?
11.  Как планируемые оборотные штрафы за утечки персональных данных могут изменить подходы компаний к защите информации?
12.  Какие особенности необходимо учитывать при трансграничной передаче персональных данных, чтобы соответствовать требованиям российского законодательства?
13.  Какие рекомендации можно дать операторам персональных данных и компаниям для повышения уровня защиты и соответствия законодательным требованиям?
14.  Какие изменения в нормативно-правовом регулировании защиты персональных данных ожидаются в ближайшие годы, и на что компаниям стоит обратить внимание?

Приятного чтения!

Интервью для CISOCLUB.

По вопросам приобретения моей новой книги (2023), а также получения бесплатной книги "Мысли про... информационную безопасность и жизнь" (2020) и бесплатной книги "Персональные данные: что было, что будет, чем сердце успокоится" (2015) обращайтесь ко мне напрямую:

E-mail: shudrova87@mail.ru

Telegram: @KseniaShudrova

Вконтакте: @shudrova

СБЫВАЕТСЯ МОЙ ПРОГНОЗ ПО ПЕРСОНАЛЬНЫМ ДАННЫМ 2024

Добрый день, коллеги! В конце года в Журнале "Information Security/ Информационная безопасность" был опубликован мой прогноз с рекомендациями на 2024 год. По окончании первого квартала мы с вами подводили первые итоги:

1. Штрафы по статье 13.11 выросли (ФЗ 589-ФЗ от 12.12.2023).

2. В КоАП появилась статья 13.11.3 Нарушение требований в области размещения биометрических персональных данных.

3. В Совете Федерации высказались по поводу возмещения вреда пострадавшим от утечек персональных данных.

Не было информации об обезличивании и спецоператоре.

Теперь первое полугодие позади, делаем вторую сверку:
1. 30.07.2024 Госдумой принят закон, устанавливающий требования к обезличиванию.
2. Идея создания категории "спецоператор" в июне обсуждалась на ПМЭФ.

Ждем дальнейшего развития событий.

Текст моей статьи с прогнозом на год

По вопросам приобретения моей новой книги (2023), а также получения бесплатной книги "Мысли про... информационную безопасность и жизнь" (2020) и бесплатной книги "Персональные данные: что было, что будет, чем сердце успокоится" (2015) обращайтесь ко мне напрямую:

E-mail: shudrova87@mail.ru

Telegram: @KseniaShudrova

Вконтакте: @shudrova

Лауреат премии "Киберпросвет" 2024

Добрый вечер, коллеги! Спешу поделиться радостью, я стала лауреатом премии "Киберпросвет" 2024 года в номинации "А у вас БД убежала" за разъяснительную работу в области ПДн, утечек данных! Ссылка на сайт премии

Для меня эта награда много значит, я продолжаю оставаться независимым экспертом из Красноярска, работать над своими проектами в одиночку, можно сказать "на коленке", но при этом всегда стремлюсь выдавать качественный продукт. Очень приятно получать подтверждения этого качества! Так что стимул для того, чтобы трудиться получен, работаю дальше. 

По вопросам приобретения моей новой книги (2023), а также получения бесплатной книги "Мысли про... информационную безопасность и жизнь" (2020) и бесплатной книги "Персональные данные: что было, что будет, чем сердце успокоится" (2015) обращайтесь ко мне напрямую:

E-mail: shudrova87@mail.ru - отвечаю всегда, но в течение суток

Telegram: @KseniaShudrova - для более оперативной связи

Канал: t.me/shudrova_pdn - для тех, кому удобно читать меня в телеге

Вконтакте: @shudrova - основная группа, дискуссионная площадка, нас уже 2271 человек

Проверяю портал проверки утечек ПДн

 Добрый день, коллеги! Вчера появилась информация на Хабре о запуске сервиса по проверке утечек персональных данных. Меня очень заинтересовал этот портал, решила попробовать. 

Вот такие результаты были получены для моей почты:

В одном случае утечки были в 2019 году, в другом - ни разу. Почта одна и та же (регистр не важен). Также я попробовала проверить пример из статьи на Хабре, для логина habr было указано 49 утечек. У меня получилось 0.

Вот такие пока результаты. Обсуждение в группе ВК. Делитесь своим опытом использования сервиса.

По вопросам приобретения моей новой книги (2023), а также получения бесплатной книги "Мысли про... информационную безопасность и жизнь" (2020) и бесплатной книги "Персональные данные: что было, что будет, чем сердце успокоится" (2015) обращайтесь ко мне напрямую:

E-mail: shudrova87@mail.ru

Telegram: @KseniaShudrova

Вконтакте: @shudrova

Персональные данные в 2024 году. Сбывается ли мой прогноз?

Добрый день, коллеги! В последнее время я публикую свои материалы в основном ВКонтакте или в Телеграм. Здесь пустовато, надо это исправлять. 

В конце года в Журнале "Information Security/ Информационная безопасность" вышел мой прогноз с рекомендациями на 2024 год. Первый квартал позади, можно делать первые сверки. 
1. Штрафы по статье 13.11 выросли (ФЗ 589-ФЗ от 12.12.2023).
2. В КоАП появилась статья 13.11.3 Нарушение требований в области размещения биометрических персональных данных.
3. В Совете Федерации высказались по поводу возмещения вреда пострадавшим от утечек персональных данных. 
По обезличиванию и спецоператору новой информации пока нет.
Полный текст статьи можно прочитать здесь.

 

По вопросам приобретения моей новой книги (2023), а также получения бесплатной книги "Мысли про... информационную безопасность и жизнь" (2020) и бесплатной книги "Персональные данные: что было, что будет, чем сердце успокоится" (2015) обращайтесь ко мне напрямую:

E-mail: shudrova87@mail.ru

Telegram: @KseniaShudrova

Вконтакте: @shudrova

ОФФТОП. Как легко писать тексты?

Пост из моей группы ВКонтакте. Так как не все читают меня там, приняла решение подтянуть на блогспот полезные тексты.

Ежедневно мы работаем с огромным объемом текстовой информации. Ладно бы только читали, иногда ведь приходится писать самим. Здесь я, конечно, иронизирую и заигрываю с читателем. Ничего мне не "приходится", я обожаю писать. Однако дело это непростое. К некоторым текстам не знаешь как подступиться.

 Предлагаю вам крупицы своего опыта.

 1. Определяемся с темой. Когда тема задана - это хорошо и плохо одновременно. Хорошо, потому что появляется основа, плохо, потому что появляются рамки. Когда тему нужно придумать, двигайтесь от общего к частному. Пример: Информационные технологии - Информационная безопасность - Персональные данные - 152 Федеральный закон - Биометрия - Документы Минцифры по биометрии.

2. Учим матчасть. Даже если у вас очень много опыта по теме нужно проверить свои знания. Что-то обязательно изменилось. Было 146 Постановление про проверки, стало 1046. Была одна операционная система, поставили другую. Построили новый корпус, заменили ответственное лицо и т.д. Хороший текст, не важно, статья это или документ, должен быть точным.

3. Читаем новости и статьи на тему. Это для вдохновения, для цитирования, для поиска ответов, на появившиеся вопросы. Естественно, плагиат не допустим.

4. Намечаем общий план текста. По ходу дела он может меняться.

5. Только на этом этапе мы начинаем непосредственно писать. Чтоб было проще, можно воспользоваться известным советом и начать текст с фразы "так, короче", чтобы поймать волну. Пишем как есть, без редактуры.

6. Рисуем/подбираем картинки, строим графики, таблицы, выбираем нужные фотографии.

7. Работаем с каждым абзацем. Убираем повторы, подбираем синонимы, выстраиваем логику изложения. Читаем вслух, чтобы понять, как звучит текст.

8. Меняем абзацы местами пока текст не зазвучит как мелодия. Убираем всё лишнее.

9. Важное выделяем: жирным, рамкой или курсивом. Но не всем сразу, должно быть изысканно.

10. Проверяем орфографию и пунктуацию. И не только. Обращение к читателю на ты или на вы? Время повествования, стиль изложения, все должно быть одинаково. Если в начале пишем "выберите вкладку настроек", то в середине не может быть "пользователь устанавливает системное время самостоятельно". Вы либо обращаетесь напрямую "сделайте, возьмите, включите", либо описываете "некто делает, берет, устанавливает". Вы либо присоединяйтесь к читателю: "делаем, выбираем, устанавливаем", либо становитесь учителем: "сделай, выбери, установи".

11. Убираем "так, короче". Текст готов.

 А как у меня получается писать, вы можете узнать из моих книг и статей. По вопросам приобретения новой книги обращайтесь лично Ксения Лебедева или в сообщения группы Защита персональных данных и не только. 

По вопросам приобретения моей новой книги, а также получения бесплатной книги "Мысли про... информационную безопасность и жизнь" (2020) и бесплатной книги "Персональные данные: что было, что будет, чем сердце успокоится" (2015) обращайтесь ко мне напрямую:

E-mail: shudrova87@mail.ru

Telegram: @KseniaShudrova

Вконтакте: @shudrova

Как ответить на любой вопрос по персональным данным?

Пост из моей группы ВКонтакте. Так как не все читают меня там, приняла решение подтянуть на блогспот полезные тексты.

Посвятив 14 лет жизни защите персональных данных, я задумалась, как выглядит мой алгоритм ответов на вопросы из этой сферы? Здорово было бы формализовать метод принятия решений. И вот к чему я пришла.

1. Внимательно изучаем вопрос. Выделяем ключевые слова-термины: биометрия, специальные категории, вред, угроза, оператор, политика, уведомление и т.д.

2. Ищем по ключевым словам в 152-ФЗ любые упоминания по теме вопроса. Иногда ответ находится уже на этом этапе.

3. Обращаем внимание на фразы в законе "в случаях, предусмотренных законодательством". Ищем другие федеральные законы на тему. Например, "О банках и банковской деятельности".

4. Обращаем внимание на фразы "в порядке, установленном Правительством", "для выполнения требований, установленных Правительством". Ищем нужное Постановление Правительства.

5. "В порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности" - определяется ФСБ России. Федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации - ФСТЭК России.

6. При упоминании "уполномоченного органа по защите прав субъектов персональных данных" ищем документы Роскомнадзора.

7. Если речь идет про обработку на бумаге - заглядываем в 687 Постановление Правительства.

8. Технические меры и средства защиты информации - сверяемся с 21 приказом ФСТЭК России (для ГИС - еще и с 17 приказом).

9. Криптография - 378 Приказ ФСБ России.

10. Биометрия - не забываем про многочисленные документы Минцифры.

11. После того, как найден документ более менее по теме высокого уровня: ФЗ, ПП, приказы органов власти спускаемся ниже. Ищем отраслевые требования (медицина, образование, банки, государственные корпорации), требования головного офиса, требования на предприятии.

11. Смотрим судебную практику, лучше за 2 последних года. Начинаем с Верховного суда, постепенно спускаемся до местных судов в вашем регионе/городе, если ничего нет, смотрим другие регионы, расширяем диапазон до 5 лет. Много информации можно найти по поиску решений по статье 13.11 КоАП РФ + ключевое слово из вопроса.

12. Если ни в законодательстве, ни в судебной практике ничего однозначного не нашли, то принимаем своё экспертное суждение по вопросу, собираем комиссию и утверждаем нужный локальный документ.

 

Это общий порядок действий, частности вы можете найти в моей электронной книге "Персональные данные: как защищать" (2023), книга электронная.

По вопросам приобретения моей новой книги, а также получения бесплатной книги "Мысли про... информационную безопасность и жизнь" (2020) и бесплатной книги "Персональные данные: что было, что будет, чем сердце успокоится" (2015) обращайтесь ко мне напрямую:

E-mail: shudrova87@mail.ru

Telegram: @KseniaShudrova

Вконтакте: @shudrova