Антивирусы и видеонаблюдение

Добрый вечер! Вышли две моих статьи в декабрьском номере журнала  "Директор по безопасности":

"Важность антивирусной защиты в организации"

Антивирусная защита на сегодняшний день стала обязательной для применения не только на компьютерах, работающих в организациях, но и на тех, которые находятся у нас дома. Количество вирусов, появляющихся ежедневно, поражает воображение и не оставляет надежды на то, что в отсутствие защиты ничего плохого не произойдет. Может показаться, что антивирусной защитой должно заниматься исключительно подразделение ИТ и это направление работы не имеет никакого отношения к службе безопасности, однако это не так. Защита информации – это комплексная задача, кроме того, ее следует рассматривать как одну из составных частей общей системы безопасности предприятия.
Ссылка

"Организация системы видеонаблюдения"

Система видеонаблюдения играет важную роль в обеспечении безопасности предприятия. Она позволяет выявлять совершаемые нарушения в режиме реального времени, определять виновных лиц, предотвращать кражи, повышать уровень доверия клиентов к организации. Например, если банкомат установлен в помещении, где ведется видеонаблюдение, у человека возникает меньше опасений за сохранность своих денежных средств.
Ссылка

Сайт о принципах построения каналов передачи данных

Довольно трудно сейчас найти действительно хорошие ресурсы, качество предоставляемой информации на которых гарантировано, особенно это важно, когда занимаешься научной работой, поэтому с удовольствием хочу поделиться с вами найденным ресурсом. Отличные материалы по протоколам, каналам передачи, информация о MPEG и другие интерсные вещи представлены на этом сайте - ссылка. Автор - Семенов Юрий Алексеевич - Зам. заведующего кафедрой "Телекоммуникационные сети и системы" МФТИ, начальник лаборатории Института теоретической и экспериментальной физики.

О новом Постановлении Правительства в области защиты персональных данных

Доброе утро! Как я и обещала, сегодня вышла моя статья на портале sec.ru о новом Постановлении Правительства 1119. Ее можно почитать здесь: ссылка. Надеюсь она будет для Вас полезной! Жду комментарии :)

Постановление Правительства № 1119

Совсем недавно вышло постановление "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных". Теперь мы узнаем, что же такое уровни защищенности! :)

 Оригинал здесь: http://www.rg.ru/2012/11/07/pers-dannye-dok.html

Свою точку зрения и кратенький анализ я изложила в статье, которая выйдет в понедельник на сайте sec.ru. Надеюсь, статья будет Вам полезной!

Хороший материал есть у Андрея Прозорова - http://80na20.blogspot.ru/2012/11/1119.html.

О видеоконференцсвязи

Добрый вечер! При подготовке презентации наткнулась на хорошую книгу, спешу с вами поделиться.

Системы компьютерной видеоконференцсвязи - Синепол В.С., Цикин И.А, 1999 г. Тут вам и импульсно-кодовая модуляция и стандарт MPEG, IP-протокол, да еще много чего. На самом деле давно ищу подобную монографию и очень рада, что наконец нашла. Всем, кто занимается видеосвязью в научных целях (а тема сейчас очень популярная, по-крайней мере среди аспирантов :), советую книгу почитать!

25 лет, новые статьи, полезный ресурс

Добрый день, дорогие читатели! С прошедшими выходными и легкого первого рабочего дня! Совсем обленилась, забросила блог, буду исправляться :)

3го числа мне исполнилось 25 лет, так что настало время серьезных трудов и дисциплины)

Взгляд в счастливое будущее

Вышли две мои статьи в ноябрьском номере журнала "Директор по безопасности":

1. Безопасность кассовых помещений. Ссылка
2. Выявление каналов утечки информации. Ссылка

Напоследок - полезность. Нашла интересный ресурс для аспирантов и других лиц, интересующихся наукой: Научная электронная библиотека "Киберленинка", ссылка. Поиск по словам работает хорошо, сайт удобный, попробуйте. Есть статьи по информационной безопасности. 

Социальная инженерия

В октябрьском номере журнала "Директор по безопасности" вышла моя новая статья "Социальная инженерия в информационной безопасности" - она есть в открытом доступе: ссылка. 

Когда мы произносим термин «социальная инженерия», то почему-то сразу представляем себе злоумышленника, который пытается с помощью общения в сети повлиять на поведение людей таким образом, чтобы достичь каких-то своих корыстных целей. Однако не стоит забывать, что социальную инженерию можно использовать и во благо. Специалисту по защите информации для того, чтобы эффективно противостоять потенциальным угрозам со стороны отдельных лиц,необходимо четко представлять, кто и чем может быть опасен, а для этого весьма полезно изучать те методы и средства воздействия, которыми пользуются люди с недобрыми намерениями. Самая известная книга по социальной инженерии –«Искусство обмана» Кевина Митника. После ее прочтения складывается впечатление,что необходимую для осуществления своих коварных замыслов информацию преступник может обнаружить повсюду, например в телефонном справочнике или в процессе беседы с оператором на линии call-центра. Также вышла статья о методах и средствах защиты информации - в закрытом доступе - ссылка. Весьма актуальным для многих организаций является установление контроля над конфиденциальной информацией. Такой процесс предполагает регулярное осуществление проверок соответствия наблюдаемого состояния объекта желаемому и необходимому, в сфере информационной безопасности желаемым состоянием защищаемой информации признается ее конфиденциальность, целостность, доступность для определенного круга лиц (в некоторых случаях также неотказуемость ее получения). Контролировать конфиденциальную информацию в организации – это значит управлять информационными потоками, противодействовать угрозам, иными словами, обеспечивать информационную безопасность.

Грант на научные исследования в ИБ и статья ВАК

Дорогие читатели хочу перед Вами похвастаться - я получила грант по программе "Научные и научно-педагогические кадры инновационной России", заняв 1 место в одной из номинаций:

Также у меня вышла первая статья в ВАКовском журнале "Программные продукты и системы:

Постоянный адрес статьи: http://swsys.ru/index.php?page=article&id=3231
Статья опубликована в выпуске журнала № 3 за 2012 год.[ на стр. 142-147 ]

В этой статье изложены мои идеи по поводу организации защищенного канала передачи информации. Читайте, комментируйте, критикуйте - буду рада! :)

Анонс октябрьского номера "Директор по безопасности"

В октябрьском номере выйдет моя статья о социальной инженерии.

Социальная инженерия в информационной безопасности

• Кто такие социальные инженеры и как их распознавать?
• Факторы риска для компаний
• Методы проверки личностей сотрудников
• Профилактические меры и обучение персонала с помощью регулярных тренингов

Полный анонс здесь: http://www.s-director.ru/magazine/newnumberfull.html.

Об инвентаризации в защите информации

Вышел сентябрьский номер Директора по безопасности.
Моя статья про пользу инвентаризации в открытом доступе здесь.
Вторая статья в закрытом доступе (про электронную подпись) здесь.

Моя почетная грамота

Всех работников нефтегазовой отрасли с праздником! Это наш день! Успехов Вам, благополучия, карьерного роста и неисчерпаемых природных ресурсов ;)

Раз уж это персональный блог - похвастаюсь :) Мне сегодня торжественно вручили грамоту за добросовестный труд на благо предприятия, это очень-очень приятно. Два года в газовой промышленности меня многому научили, спасибо за все, коллектив ОАО "Красноярсккрайгаз", работать с Вами было очень приятно!

Managing the human factor in information security

Для сдачи кандидатского минимума по английскому я выбрала книгу David Lacey 'Managing the Human Factor in Information Security: How to win over staff and influence business managers' и не пожалела об этом. В книге множество интересных мыслей, привожу свой вольный перевод некоторых из них. 

...

Я спросил одного генерального директора, на что это похоже, быть сегодня во главе большой современной организации.

Он ответил:

‘Это похоже на вождение большого автобуса, за исключением того, что колеса не связаны с рулем.’

Если вы работаете на крупном предприятии, вы уже заметили это явление. Становится все труднее оказывать влияние на ваших коллег руководителей и сотрудников. Конечно, это никогда не было легко.

Но сегодня это еще сложнее. И ситуация на местах гораздо хуже, чем вы думаете. Вы были бы потрясены, если бы Вы провели мониторинг на предмет того, сколько сотрудников компании фактически понимает корпоративную политику и следует ей.

Я знаю это, потому что недавно провел такое исследование, в десятках организаций. Результаты были довольно мрачными. Фактически, многие корпоративные политики не поняты, не доведены до персонала, не осуществлены или не воплощены в жизнь. Однако политика является основой информационной безопасности. Следовательно, или мы не донесли ее смысл, или по некоторым причинам, она игнорируется повсеместно.

Но это происходит не только от нашей некомпетентности. В действительности данное явление характерно для современного сетевого общества.

 ...

В сегодняшнем быстро меняющемся информационно-насыщенном мире, на людей воздействует множество отвлекающих факторов. Неустанный поток электронных писем - только верхушка айсберга. Типичный офисный работник проверяет свою электронную почту по крайней мере 50 раз в день. Но он также просматривает аналогичное количество веб-сайтов. А еще более губительным является растущий поток мгновенных или текстовых сообщений в режиме реального времени.

Потерянная производительность от таких отвлечений, как оценивается, стоит многих сотен миллиардов долларов в год, хотя никто, кажется, не измерил соответствующее увеличение эффективности, которое приносит эта технология. Мнение экспертов поэтому все еще балансирует между выгодами и издержками, представленными новыми сетевыми технологиями.

Но новая технология необходима, чтобы привлечь молодых выпускников. И это является одним из важнейших факторов в растущей конкуренции за привлечение новых талантов.

Не удивительно, поэтому, обнаружить, что лучшие компании, которые стремятся привлекать лучший штат, такие как Голдман Сакс, на настоящий момент относятся к числу наиболее передовых компаний во внедрении новейших сетевых технологий.

...

У современных менеджеров мало времени для спокойного размышления о гипотетических рисках безопасности и их последствиях. И все чаще они предпочитают обращаться к коллегам в сети или на общедоступные веб-сайты для справок по возникающим вопросам, а не просить ответа у официальных консультантов.

Также трудно узнать все тонкости по сложным вопросам. И практически невозможно успешно связать долгосрочные политики и технологические процессы. Когда, например, в последний раз вы читали инструкцию? Тем не менее, это то, что менеджеры информационной безопасности ожидают от сотрудников компании. И даже если вы найдете время, чтобы прочитать ее, надолго вы это запомните? И что заставит вас применить ее?

На самом деле, традиционные подходы к обеспечению информационной безопасности, такие как публикация объемного  руководства по политикам и стандартам, больше не работают. Они могут быть хороши для того, чтобы показать, что вы и ваше руководство соответствуете занимаемым должностям и продемонстрировать как вы выполняете служебные обязанности. Но длительные указания неэффективны как средство воздействия на персонал. Они должны быть отправлены в корпоративную помойку.

Мы должны пересмотреть и модифицировать то, как мы общаемся и исполняем наши политики безопасности. И это не тривиальная задача, потому, что их содержание становится все длиннее, и все более и более сложным.

...

Это становится огромной проблемой – связать комплексную политику безопасности и изменчивую организацию, которая постоянно перестраивается.

...

В частности, нам необходимо перейти от внедрения системы безопасности не столько для галочки, как оборонительной политики, а в большей степени основываться на том, как люди сейчас думают и ведут себя.

Нам нужно принять, понять и использовать социальные сети, которые все чаще используются нашими коллегами и сотрудниками. Электронные сети, на самом деле, не только источник проблемы, но и ключ к ее решению.

 Социальные сети расширяют возможности руководителей, сотрудников и клиентов. Они не работают по той же схеме, как традиционные организационные структуры. Они сопротивляются доминированию, и они разрушают традиционные, иерархические основы власти в организации. Социальные сети ограничивают возможности головных офисов и корпоративных центров, ослабляя влияние корпоративной политики безопасности в организации.

Характер принятия решений меняется, решительно и навсегда. Теперь они более направлены снизу вверх, а ни сверху вниз. Наше лидерство больше не находится исключительно в руках привилегированной группы и их консультантов, которые задают главенствующую политику. Лидерство там, в равноправных сетях и работает через инфраструктуру нашего предприятия. Власть идет к людям.

Форестер Ресерч, компания независимых технологий и маркетинговых исследований, отслеживала эту тенденцию в течение нескольких лет. Среди прочего, они отметили, что доверие к институтам постепенно ослабевает, и что социальные сети подрывают традиционные бизнес-модели.

...

Перспективные компании все чаще обращаются к обзорам мнений широкой общественности о своей деятельности.

.. 

Все менеджеры по связям следят за "блогосферой". Это развивающаяся сеть, которая связывает огромное количество личных веб-журналов, что позволяет им соединиться, взаимодействовать и усиливать мысли популярных личностей.

...

Блоги сильно отличаются от журналистики. Они носят более разговорный характер и больший акцент на личных взглядах, чем на объективной информации. И, в отличие от газет, блоги связаны друг с другом, в результате мощного эффекта агрегации сети.

Не претендую на звание переводчика, но, надеюсь основной смысл идей Дэвида я смогла передать. Рекомендую эту книгу к прочтению!

Кто поможет специалисту по защите информации?

Моя статья в открытом доступе здесь: http://daily.sec.ru/publication.cfm?pid=35711. 

Электронная подпись для госзакупок

Местное управление Казначейства провело совещание, в рамках которого было объяснено, что для размещения информации на сайте госзакупок по 94 ФЗ "О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд" подходит электронная цифровая подпись, выданная Казначейством. Однако для работы по 223 ФЗ "О закупках товаров, работ, услуг отдельными видами юридических лиц" подписи ими не выдаются. Для этих целей можно использовать электронные подписи, выданные любой   аккредитованной организацией.

Новый сайт ФСТЭК

Сайт пока в тестовом режиме, но выглядит многообещающе - ссылка.

Роскомнадзор про цензуру в Интернете

...

Для применения положений закона на практике требуется определить в подзаконных актах:

• Порядок проведения экспертизы информационной продукции;

• Порядок создания, формирования и ведения Единого реестра доменных имен, указателей страниц сайтов и сетевых адресов, позволяющих идентифицировать в сети «Интернет» сайты, содержащие информацию, распространение которой в Российской Федерации запрещено;

• Порядок и критерии привлечения организаций, зарегистрированных на территории Российской Федерации, для ведения соответствующего реестра

...

Источник: http://rsoc.ru/news/rsoc/news15831.htm

Ода специалистам по ЗИ

Для пятничного настроения и гордости за профессию. Очень оптимистично о том, кто такие специалисты по защите информации можно прочитать вот в этой брошюрке. Системный подход и анализ - это да, этого у нас не отнять:)

Судебная практика по информационной безопасности

Статья в августовском номере "Директор по безопасности" (в закрытом доступе).

Судебная практика может служить хорошим обоснованием необходимости проведения мероприятий по защите информации. Хороший специалист должен уметь использовать судебные решения как инструмент воздействия на мнение руководства. Когда нужно срочно принять защитные меры, важность которых неочевидна, и основная причина, почему это нужно сделать – возможное наказание (к сожалению, в нашем законодательстве есть такие ситуации), необходимо показать, что статья рабочая и прецеденты по ней есть. В случае персональных данных на сегодняшний момент основные наказания назначаются по ст. 13.11 КоАП и предусматривают штраф до 10 000 руб. Это не выглядит впечатляющим для руководства. Однако если добавить, что рассматривается вопрос внесения поправок в статью об увеличении штрафа до 1 000 000 руб., а также введении наказания в виде дисквалификации должностного лица, то актуальность защиты персональных данных возрастает в разы.

http://www.s-director.ru/magazine/archive/viewdoc/2012/8/605.html

Осуществление контроля в области информационной безопасности на предприятии

Статья в августовском номере "Директор по безопасности" (в закрытом доступе).

Система информационной безопасности в организации – большой и сложный механизм. Создать такой механизм трудно, но и это только полдела. Очень важно разработать и запустить действенные инструменты контроля –только тогда система информационной безопасности будет работать эффективно

http://www.s-director.ru/magazine/archive/viewdoc/2012/8/601.html

С днем системного администратора!

В незапамятные времена довелось и мне побыть несколько месяцев системным администратором на кафедре (как вспомню, так вздрогну :) Специфика работы сводилась к тому, что приходилось постоянно что-то чинить и переустанавливать - ох уж эти шаловливые ручки студентов, которые знают, как лучше настроить компьютеры в классе ;) Но сейчас не об этом:)

Люди, которые имеют мужество быть системными администраторами и выполнять такую работу каждый день, многие годы действительно уникальны! Спасибо за Ваш труд! Отдельно хочется поздравить женщин-системных администраторов, рушьте стереотипы ;)

ЗЫ. Сереге - старому школьному товарищу отдельный привет и пожелание всяческих успехов! Ты профессионал!

Роскомнадзор о проблемах облаков и альтернатива паролям

Добрый день! Сегодня хочу поделиться с вами двумя любопытными, на мой взгляд, ссылками.

1. На сайте Роскомнадзора решили осветить проблему облаков ссылка, сам текст, как указано, взят отсюда. 
2. Учеными предложен новый метод аутентификации:  ссылка. 

Мое резюме

Иногда нужно что-то изменить в жизни, поэтому размещаю здесь:

Профессиональный опыт

Опыт работы

сентябрь 2010 — настоящее время

Специалист по защите информации — Газоснабжающая компания (Добывающая отрасль/энергетика/ГСМ)

Обязанности, функции, достижения:

создание системы защиты информации с нуля — единственный специалист в данной области на предприятии, в том числе системы защиты персональных данных. Прохождение проверки Роскомнадзора без предписаний. Разработка документации по защите информации, участие в совещаниях с руководством организации. Обеспечение безопасной работы с электронной подписью, в том числе на госзакупках. Пропускной режим: настройка электронных проходных (Орион, Perco S-20), оформление электронных пропусков. Другие задачи по защите информации, в том числе участие в проверках в области безопасности.

октябрь 2009 — март 2010

Техник по защите информации — РТК-Сибирь (Информационные технологии/системная интеграция)

Обязанности, функции, достижения:

создание документации по защите персональных данных, работа с клиентами над заказами в области информационной безопасности, обследование информационных систем, подбор и установка специализированного программного обеспечения (ФИКС, Терьер, Ревизор 1,2, SexcretNet и другие)

Профессиональные навыки, умения, компетенции

Организационная защита информации: документация, планы, проверки, отчеты. Техническая защита информации: установка и настройка специализированного ПО, в том числе SecretNet, Орион, Ревизор, ФИКС, Терьер, Perco S-20 и др. Участие в совещаниях с руководством, презентация результатов работы. Опыт ведения лекций.

Участие в проектах

Создание системы защиты информации с нуля в организации.

Сведения об образовании

2011 — 2015 (неоконченное высшее)

Сибирский государственный аэрокосмический университет им. М. Ф. Решетнева

Факультет: Аспирантура — заочная форма обучения

Специальность: Системный анализ, управление и обработка информации

Квалификация: кандидат наук

2005 — 2011 (высшее)

Сибирский государственный аэрокосмический университет им. М. Ф. Решетнева

Факультет: Институт информатики и телекоммуникаций — дневная форма обучения

Специальность: информационная безопасность телекоммуникационных систем

Квалификация: специалист

Знание языков

Английский (могу проходить интервью)

Прочая информация

Хобби, спорт

живопись

Дополнительная информация

Ответственность за принимаемые решения, творческий подход к решению задач, умение быстро реагировать в сложных ситуациях, способность выполнения долгосрочных проектов, умение представлять результаты работы в отчетах и на совещаниях, стремление к высоким результатам в работе.

Стипендиат Королева за успехи в научной и учебной деятельности (2010)

Имею опыт ведения лекций — курс по организационной защите персональных данных для администрации Губернатора Красноярского края (июнь, 2012).

Вебинар Алексея Волкова

26 июля пройдет Вебинар Алексея Волкова, известного специалиста в области защиты информации, по следующим темам:

Темы, которые будут обсуждаться: 

• Кто, кого, и для чего проверяет; 
• Правовые основания для проведения плановых и внеплановых проверок; 
• Что может Роскомнадзор в соответствии с законодательством и как реализует свои полномочия на практике; 
• Как определить степень готовности к проверке и что делать, если она близка к нулю; 
• Как отстоять свои права во время проверки и после нее, при этом не ударить в грязь лицом и сохранить хорошие отношения с регулятором; 
• Проверка без замечаний – это реально? 

Зарегистрироваться можно здесь. Радиотрансляция состоится 26.07.12 в 10.30. 

Я буду слушать, а Вы?:)

Источник: http://anvolkov.blogspot.com/2012/07/risspa-152.html

Мое уведомление об обработке

Сегодня появились дополнения в уведомлении в части ответственного лица. Но удивило больше другое - опять проявились меры, которые я указывала в 2010 году в уведомлении, теперь они вписаны в графу ст. 18.1 и 19. Ранее они исчезали, см. здесь. Значит эта информация по смыслу подходит. Также проявилась старая информация о трансграничной передаче. Итого осталось сделать лишь один пункт - обеспечение безопасности по нормам, установленным Правительством РФ. 

Вывод: уточнения необходимо подавать только в части контактов ответственного лица и требований Правительства (687 и 781 Постановления). Однако с последним, думаю, спешить не нужно, так как до конца года могут выйти новые Постановления.

Поиск судебных решений

Специалисты по защите информации в своей работе часто используют судебные решения, но найти нужные бывает не так-то просто. На сайтах судов обычно есть поиск только по номеру дела, в лучшем случае по статье. Поэтому часто есть необходимость воспользоваться сторонним ресурсом с поиском по ключевым словам. Ранее я писала про сайт Актоскоп, сегодня нашла еще один источник судебных решений: Росправосудие. Попробовала - поиск по словам работает, не всегда выдает корректные результаты (в некоторых решениях почему-то не встречалась искомая комбинация), однако найти кое-что интересное для себя можно.

ЗИ: ИТ или СБ?

С сегодняшнего дня я автор Интернет-портала sec.ru. Моя первая статья о подчиненности специалиста по защите информации здесь.

ЭП и ЭЦП

Когда публиковала заметку об электронной подписи, не задумывалась, что не все так просто. Будут ли иметь юридическую силу документы, подписанные ЭЦП после 1 июля?..
Обсуждение здесь: http://shudrova.blogspot.com/2012/06/blog-post_27.html.

Анонс августовской статьи

Доброе утро! В августе выйдет две мои статьи в журнале "Директор по безопасности" одна из них о судебной практике в защите информации:

Судебная практика по информационной безопасности Судебная практика может служить хорошим обоснованием необходимости проведения мероприятий по защите информации. Хороший специалист должен уметь использовать судебные решения как инструмент воздействия на мнение руководства. Когда нужно срочно принять защитные меры, важность которых неочевидна и основная причина, почему это нужно сделать – возможное наказание, а, к сожалению, в нашем законодательстве есть такие ситуации, необходимо показать, что статья рабочая и прецеденты по ней есть. Статья-путеводитель по наиболее интересным или типичным случаям нарушения законодательства в различных сферах деятельности предприятий. Подробно разобраны на конкретных примерах методы сбора и предоставления информации по судебным решениям.

http://www.s-director.ru/magazine/newnumberfull.html

Мой поход в Роскомнадзор

В связи с тем, что необходимо подавать данные об ответственном за обработку персональных данных лице, решила я сходить в Роскомнадзор и отнести им информационное письмо об изменениях в уведомлении. Как составить такое письмо я писала ранее здесь. Однако я допустила ошибку в связи с тем, что наивно полагала аналогичными пункты: 

7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

Как мне объяснила специалист из Росконадзора - это разные вещи и указывать необходимо разную информацию. Причем, если Вы ранее посылали информацию о мерах защиты и она была указана в Вашем уведомлении в реестре, то сейчас ситуация изменилась и эти данные не отображаются, зато появились пустые поля, которые необходимо заполнить до января 2013 года. 

Пример уведомления

Итак, что же нужно писать в пункте про меры (18.1, 19): это назначение ответственного лица, издание локальных документов, внутренний контроль, оценка вреда (?), ознакомление работников, определение угроз безопасности, применение средств защиты, прошедших процедуру оценки соответствия и т.д (см. ФЗ "О персональных данных").

Сведения об обеспечения безопасности персональных данных по требованиям Правительства - это не требования согласно планируемым документам, а как мне вчера объяснили - Постановление 687 и Постановление 781. Причем даже выдали памятку о том, что примерно нужно писать в этом пункте :)

Обязательного требования предоставлять информацию о классификации системы нет. На мой вопрос по поводу введения новых уровней был ответ, что этим занимается другая организация, они не в курсе дела. Так что мне посоветовали классифицировать ИСПДн по приказу трех. А еще сказали, что вносить изменения можно частями: определили ответственного - подали изменения в уведомление, такие изменения можно делать хоть каждый месяц.

Разграничение доступа и парольная политика

Доброе утро! Сегодня в журнале "Директор по безопасности" вышли две мои статьи, одна из них в открытом доступе: http://www.s-director.ru/magazine/archive/viewdoc/2012/7/583.html. 

Анонс статьи:

Первый рубеж, который должен преодолеть злоумышленник, заключается в подборе пароля для доступа к данным. Если пароль слабый или хранится в открытом виде, то попытка взлома информационной системы будет успешной, при этом неважно, какие средства защиты информации установлены в системе, так как авторизация с нужными правами уже произошла.

Специалист по защите информации ОАО «Красноярсккрайгаз» ответит на следующие вопросы:

• Как упорядочить доступ сотрудников к ресурсам корпоративной сети? 

• Почему разграничение доступа и парольная политика важны для любой компании? 

• Как узнать, сколько времени понадобится для взлома пароля? 

• Где и как лучше всего хранить пароли?

Вторая статья доступна только читателям журнала - ссылка.

Внесение изменений в уведомление

Хочу напомнить операторам, что до 1 января 2013 года необходимо подать уведомление по новой форме: 

2.1. Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7.1, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года.

(часть 2.1 введена Федеральным законом от 25.07.2011 N 261-ФЗ)

(ст. 25, Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 25.07.2011) "О персональных данных")

По ФЗ новая форма включает в себя:
1) наименование (фамилия, имя, отчество), адрес оператора;

2) цель обработки персональных данных;

3) категории персональных данных;

4) категории субъектов, персональные данные которых обрабатываются;

5) правовое основание обработки персональных данных;

6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;

8) дата начала обработки персональных данных;

9) срок или условие прекращения обработки персональных данных;

10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

[Отредактировано в связи с полученной информацией] О том, что хочет видеть Роскомнадзор в уведомлении можно прочитать в моем посте здесь. Для того, чтобы подать информацию об ответственном лице и принятых мерах, необходимо воспользоваться формой информационного письма о внесении изменений в уведомление - ссылка. Заполнять необходимо только те графы, которые необходимо изменить. Но есть и обязательные для заполнения сведения: 

1. Наименование (фамилия, имя, отчество) оператора; 
2. Адрес оператора;
3. Регистрационный номер записи в Реестре; 
4. Основания изменений;
5. Регионы;
6. ИНН;
7. Коды: ОГРН. 

Дополнительная информация в нашем случае:

1. Ответственный за организацию обработки персональных данных;
2. Номера контактных телефонов, почтовые адреса и адреса электронной почты ответственного за организацию обработки персональных данных.

После формирования уведомления, его необходимо распечатать, заверить у руководителя организации, поставить печать, а затем отправить в региональное отделение Роскомнадзора. Это можно сделать как заказным письмом, так и лично. Следить за состоянием уведомления можно с помощью уникального номера и ключа, которые присваиваются документу автоматически. Страница для отслеживания состояния уведомления - ссылка.

Разные официальные формы уведомлений?

Сегодня на портале госуслуг обнаружила возможность подачи уведомления об обработке персональных данных. Рассмотрим функционал этого раздела.

Заходим на портал госуслуги в раздел электронные услуги. Обязательно выбираем пункт - услуги для юридических лиц, так как для физических набор услуг другой.

Рис. 1

Выбираем раздел "Министерство связи и массовых коммуникаций Российской Федерации", в нем нас интересует подраздел "Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций" (выделено красным на Рис. 2).

Рис. 2

И наконец в этом подразделе выбираем нужный нам пункт: "Ведение реестра операторов, осуществляющих обработку персональных данных".

Рис. 3

В нужном нам разделе находим раздел документы (Рис. 4):

Рис. 4

В раскрывающемся пункте "Уведомление" расположена кнопка "Шаблон для заполнения", при нажатии на нее скачивается файл формы уведомления.

Рис. 5

В этой форме присутствуют следующие пункты:

1. Наименование и адрес организации;
2. Правовое обоснование обработки персональных данных;
3. Цель обработки и категории ПДн;
4. Категории субъектов;
5. Перечень действий, описание способов обработки;
6. Список принятых мер;
7. Дата начала обработки и срок окончания обработки.

Также в этом разделе приведен пример заполнения формы. В качестве примера принятых мер указано:

Организационные меры: ограничение и аутентификация доступа к информационной системе, наличие должностных инструкций, содержащих требования сохранения конфиденциальности персональных данных. Технические меры: программно-аппаратный комплекс "Континент" (заводской номер, уровень криптографической защиты).

Если же мы посмотрим форму уведомления на портале персональных данных Роскомнадзора, то увидим дополнительные графы, которые отсутствовали в предыдущей форме:

1. Информация об ответственном лице;
2. Информация о классе системы персональных данных;
3. Пункт о трансграничной передаче.

В Приложении № 3 к "Административному регламенту Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных» есть форма уведомления, но она не такая как на сайте госуслуг и на портале персональных данных (там есть трансграничная передача). 

Чем руководствоваться оператору?..

Электронная подпись для физических лиц

Вчера меня попросили найти информацию о том, где можно сделать ЭП для физического лица (портал госуслуг) в Красноярске. Найти нужные адреса оказалось не так-то просто, поэтому хочу поделиться с читателями найденной информацией, вдруг кому-то пригодится. А вообще электронная подпись для портала госуслуг - дело хорошее, время должно экономиться изрядно. 

На самом портале размещена следующая информация:

Гражданин РФ может зарегистрировать Личный кабинет и в дальнейшем проходить авторизацию с использованием носителя электронной подписи, выданного удостоверяющим центром проекта «Электронное правительство» ОАО «Ростелеком», или доверенным удостоверяющим центром ФНС России, или иным удостоверяющим центром, входящим в пространство доверия Министерства связи и массовых коммуникаций РФ.

Значит искать надо в направлении Ростелекома, решила я :)

Оказывается услуга стартовала по стране год назад - 16 мая 2011 года (источник). В Сибири первым регионом стала Новосибирская область - апрель 2012 года (источник). В Красноярске 23 мая 2012 года в Ростелекоме ключ получил губернатор Лев Кузнецов (источник):
Для регистрации на едином портале госуслуг (www.gosuslugi.ru, госуслуги.рф) и оформления электронной подписи Льву Кузнецову потребовалось около 20 минут и 660 рублей (стоимость электронного носителя (e-token). Он предъявил специалисту свой паспорт, ИНН и страховое свидетельство Пенсионного фонда (СНИЛС). 

Ну и наконец чисто практическая информация (источник): 

Выдача USB-ключей в Красноярске производится в офисе продаж и обслуживания клиентов компании «Ростелеком» на ул. Диктатуры, 31. Получить ЭП здесь могут не только жители города и области, но и других регионов РФ.

Организационная защита персональных данных

Выкладываю свою презентацию с курсов, которые я читала для администрации Губернатора. Надеюсь, Вам будет полезной :)

Shudrova_pdn

View more presentations or Upload your own.

Работа, учеба и отпуск

Давно не писала я в свой блог - тому есть серьезные причины, а именно - сдача кандидатского минимума по английскому и по философии. Спешу похвастаться - оба предмета сданы на пятерки, дело за малым - написать и защитить-таки диссертацию :)

А после экзаменов был недельный отпуск в Новосибирске, где я была в первый раз и среди прочих достопримечательностей не забыла сфотографироваться со зданием ФСТЭК :-)

Между экзаменами меня пригласили провести лекцию по защите персональных данных для учебного центра при Губернаторе Красноярского края. Об этом расскажу чуть позже, сегодня после поезда много и серьезно писать просто лень:)

Доступ к образовательным ресурсам по информационной безопасности

Вот здесь можно найти и скачать учебные пособия по защите информации. Что ж я про это не знала, когда в университете училась?:) Здесь есть пособия и по технической защите информации и учебники по криптографии, в том числе учебно-методические пособия для преподавателей. 

Новый министр связи и массовых коммуникаций

Главой Минкомсвязи России стал Николай Никифоров, два последних года работавший вице-премьером, министром информатизации и связи Татарстана. Об этом сегодня объявил президент Владимир Путин.

Подробнее:http://www.cnews.ru/news/top/index.shtml?2012/05/21/489973

Отчет о деятельности Роскомнадзора за 2011 год

Интересные моменты:

Серым выделены мои комментарии, остальное - цитаты из текста отчета. Остальное цитаты - они идут в произвольном порядке, обобщены по темам (из разных частей документа). Оригинал отчета: http://rsoc.ru/personal-data/reports/.

1. Про профилактические мероприятия:

Наряду с традиционными формами работы (проведение плановых и внеплановых проверок) Уполномоченным органом в 2011 году активно внедрялись меры профилактического характера (мониторинг деятельности Операторов), что позволило на начальной стадии выявить и пресечь ряд серьезных нарушений прав значительного числа граждан, которые, впоследствии, могли вызвать широкий общественный резонанс. Видимо имелся ввиду мониторинг Интернет-ресурсов, потому что далее:

...создана система взаимодействия с регистраторами доменных имен и уполномоченными органами иностранных государств, а также сформирована положительная судебная практика, позволившая  создать прецедентную практику прекращения (приостановления) деятельности интернет-ресурсов, незаконно распространявших персональные данные граждан...

2. Про количество проверок:

Всего в отчетном периоде было проведено 1440 плановых проверок, 266 проверок отменено в связи с ликвидацией Оператора. 

В рамках внепланового контроля проведена 791 проверка, из них по обращениям граждан проведено 366 проверок...

Увеличение количества внеплановых проверок по сравнению с 2010 годом обусловлено более чем двукратным ростом числа обращений граждан, поступивших в Уполномоченный орган. Внеплановые проверки составляют половину от плановых.

3. Про взаимодействие с прокуратурой

Так, использование Уполномоченным органом при исполнении поручений органов прокуратуры оснований внеплановых проверок, установленных Административным регламентом проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (приказ Роскомнадзора от 1 декабря 2009 г. № 630, зарегистрирован в Минюсте России 28 января 2010 г., № 16095) признавалось органами прокуратуры допустимым и правомерным.

В то же время использование аналогичных оснований при проведении Уполномоченным органом внеплановых проверок по обращениям граждан в ряде субъектов (Краснодарский край, Алтайский край) было признано органами прокуратуры незаконным, при этом по инициативе органов прокуратуры государственные инспекторы Роскомнадзора были привлечены к административной ответственности.

Причина отказов органами прокуратуры в возбуждении дел об административных правонарушениях за истечением срока давности отчасти связанна с изменениями, внесенными в июле 2011 года в Федеральный закон «О персональных данных», увеличившими сроки предоставления операторами информации по запросу Уполномоченного органа до 30 дней.

Принимая во внимание, что в отношении правонарушений по ст. 13.11 КоАП РФ установлен 3-х месячный срок давности, на сегодняшний день количество возбужденных дел по указанной статье ничтожно мало.

 В сложившейся ситуации логичным и эффективным решением является передача Уполномоченному органу – Роскомнадзору  полномочий по возбуждению и рассмотрению дел об административных правонарушениях, предусмотренных ст. 13.11 КоАП РФ. Это в значительной степени будет способствовать соблюдению принципа неотвратимости наказания за совершенное правонарушение.

Здесь говорится о проекте нового постановления Правительства.

4. Про типичные нарушения

Основными, типичными нарушениями требований Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятых на его основе подзаконных актов, выявленными в ходе плановых и внеплановых проверок, являются:

а) ст. 7 Федерального закона «О персональных данных» – нарушение требований конфиденциальности при обработке персональных данных;

б) ч. 3 ст. 18 Федерального закона «О персональных данных» – неуведомление гражданина о начале обработки его персональных данных;

в) п. 15 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 в части, касающейся несоблюдение Оператором условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ.

Основное, как и раньше - неавтоматизированная обработка и отсутствие согласия. Пункт а - собирательный.

5. Про штрафы

Как и в предшествующие периоды, в отчетном продолжился рост количества правонарушений в области персональных данных. Так, в 2011 году Уполномоченным органом составлено 4901 протоколов об административных правонарушениях, что почти 2 раза превышает показатели 2010 года.

Мировыми судьями в 4315 случаях вынесены постановления о привлечении Операторов к административной ответственности в форме штрафа на общую сумму 7,9 млн. рублей. ( средний штраф - менее 2 тыс. руб.).

6. Про утечки баз данных

Учитывая подобные случаи распространения баз данных, предположительно имеющих принадлежность к  информационным системам госорганов, представляется целесообразным нормативно урегулировать вопросы обеспечения идентификации баз персональных данных, обрабатываемых в госорганах, с целью однозначного определения источника в случае их утечки или появления в продаже. В этих же целях предлагается применять процедуру обезличивания персональных данных, успешное использование которой существенно снизит риски идентификации конкретных граждан в случаях утечек баз данных.

Интересно, каким образом это можно сделать?

7. Про технический стандарт

В качестве решения указанной проблемы представляется целесообразной разработка технического стандарта, определяющего набор необходимых правил и мер, реализация которых обеспечит безопасность персональных данных при их обработке в информационно-телекоммуникационной сети Интернет и позволит исключить подобные случаи.

Разрабатывать будет Роскомнадзор?

8. Про обращения граждан

По итогам рассмотрения обращений граждан следует отметить, что доводы заявителей подтвердились лишь в 857 случаях, что составляет 27 % от общего числа обращений.

Ну что ж, только треть жалоб подтверждается, для операторов внушает надежды.

9. Об увеличении штата

В связи с чем, сегодня видится актуальным рассмотрение вопроса об увеличении штатной численности работников Уполномоченного органа, осуществляющих функции в области защиты прав субъектов персональных данных.

Скажется ли это на увеличении проверок.

10. О совместных проверках

Решения о проведении совместных проверок в 2012 году были приняты органами ФСБ России по 23 субъектам Российской Федерации, органами ФСТЭК России - по 9 субъектам.

В качестве показательного примера можно привести совместные проверки, проведенные в 2011 году в отношении Пенсионного фонда Российской Федерации и 6 негосударственных пенсионных фондов, в которых помимо трех регуляторов приняли участие представители органов внутренних дел.

  По результатам совместных контрольно-надзорных мероприятий в деятельности Пенсионного фонда Российской Федерации фактов незаконной передачи персональных данных застрахованных лиц, а также условий, способствующих утечке персональных данных из информационной системы Пенсионного фонда Российской Федерации, установлено не было.

11. О проверках ФСБ

В 2011 году ФСБ России проведено 270 проверок по контролю за обеспечением безопасности персональных данных, обрабатываемых в информационных системах персональных данных.

Выявленные нарушения и недостатки можно разделить на 4 категории:

1. Разработка ведомственных нормативных документов по обеспечению безопасности персональных данных с отступлениями от требований нормативно-методических документов ФСБ России (35%).

2. Использование СКЗИ, не прошедших сертификацию ФСБ России или с истекшими сроками действия сертификатов (28%).

3. Подготовка и назначение пользователей СКЗИ осуществляется с отступлениями от требований нормативных документов (30%).

4. Нарушения в учете, хранении, уничтожении СКЗИ и ключевой документации к ним (55%).

12. О деятельности ФСТЭК

Деятельность ФСТЭК России в области обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных в отчетном году осуществлялась по следующим направлениям:

1. Совершенствование законодательства Российской Федерации в области обеспечения безопасности персональных данных.

2. Оказание методической помощи федеральным органам исполнительной власти, органам исполнительной власти субъектов Российской Федерации, органам местного самоуправления, другим операторам и специалистам по реализации требований законодательства Российской Федерации и методических документов ФСТЭК России по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

В 2011 году ФСТЭК России и его территориальными органами было проведено 83 проверки, том числе 56 в федеральных органах исполнительной власти и их территориальных органах (МИД России, Минэкономразвития России,  МЧС России, Минпромторг России, Минэнерго России, ФТС России, ФСИН России, ФАС России, Рособрнадзор, Росздравнадзор, Росимущество, Росрезерв), в органах исполнительной власти 14 субъектов Российской Федерации, 7 органах местного самоуправления и 6 организациях ЖКХ.

В ходе контрольных мероприятий выявлено значительное количество недостатков, связанных с:

незавершенностью работ по классификации информационных систем персональных данных;

формальным подходом при формировании модели угроз безопасности персональных данных;

использованием технических средств защиты информации, не прошедших в установленном порядке процедуру оценки соответствия, в том числе межсетевых экранов при подключении информационных систем персональных данных к сети Интернет;

отсутствием описания системы защиты персональных данных;

отсутствием надлежащего учета применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных.

Сертифицированные средства - необходимы

13. О будущем

Задачи и приоритетные направления деятельности Уполномоченного органа:

1.      Осуществление на постоянной основе мониторинга деятельности Операторов, направленного на предупреждение, выявление и пресечение нарушений в области персональных данных.

2.      Работа по выявлению и пресечению деятельности по продаже физических носителей, содержащих персональные данные граждан, а также ресурсов, незаконно распространяющих персональные данные граждан в информационно – телекоммуникационной сети Интернет в судебном порядке и посредством организации взаимодействия с уполномоченными органами иностранных государств и национальными регистраторами доменных имен.

3. Обмен опытом и оказание взаимной помощи в вопросах защиты и восстановления охраняемых законом прав и интересов субъектов персональных данных в рамках сотрудничества с уполномоченными органами по защите прав субъектов персональных данных иностранных государств.

4. Продолжение практики совместных проверок в области персональных данных с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю.

5. Совершенствование форм и методов контрольно-надзорной деятельности, направленной на  качественное повышение уровня защиты прав субъектов персональных данных.

6. Методическое обеспечение и повышение профессиональной квалификации сотрудников Уполномоченного органа.

7. Подготовка предложений по совершенствованию и гармонизации законодательства Российской Федерации в области персональных данных.

8. Издание приказа Уполномоченного органа об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS 108), и обеспечивающих адекватную защиту прав субъектов персональных данных.

9. Разработка требований и методов обезличивания персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ.

10. Организация и проведение совместной с Координационным центром национального домена сети Интернет работы по предотвращению нарушений прав и законных интересов граждан в информационно-телекоммуникационной сети Интернет. 

Нас ждут изменения в законодательстве?