Классификация информационных систем персональных данных

Добрый день, коллеги! Сегодня я хочу представить Вам третью статью из цикла "Персональные данные: что было, что будет, на чем сердце успокоится". Статья посвящена классификации ИСПДн по старым и новым требованиям. Как классифицировали системы пять лет назад? Что такое уровень защищенности? Почему класс К1 по Приказу трех не то же самое, что класс К1 по 17 Приказу ФСТЭК? На все эти вопросы ответы можно найти в моей статье. Читатайте, комментируйте. Надеюсь, материал будет Вам полезным.

Статья находится в открытом доступе здесь.

Страница ВКонтакте: http://vk.com/kshudrova
Страница Блога: http://shudrova.blogspot.ru/

О контрольно-кассовой технике и информационной безопасности

Доброе утро, коллеги! 14 июля вышло Постановление Правительства "О проведении в 2014-2015 годах эксперимента по применению контрольно-кассовой техники при осуществлении наличных денежных расчетов и (или) расчетов с использованием платежных карт в целях совершенствования порядка ее регистрации и применения". Текст Постановления можно найти здесь. Вот здесь можно почитать любопытную статью с отзывами экспертов. С 1 августа эксперимент проводится на территории Республики Татарстан, Калужской области, Московской области и г. Москвы и продлится до февраля следующего года. Основная идея эксперимента - опробовать технологию онлайн передачи данных от касс в налоговую. Причем будут передаваться данные как при наличном, так и безналичном расчете. Пока участие в эксперименте добровольное. Цель нововведений - уменьшить нагрузку на предпринимателей в виде проверок налоговых, снизить их затраты на передачу отчетов. Честно говоря, об этом Постановлении я ничего не слышала, пока мне не позвонили с радиостанции Бизнес ФМ Красноярск и не попросили дать комментарий с точки зрения специалиста по информационной безопасности.

На мой взгляд можно выделить следующие уязвимые места:

1. Программа, установленная у пользователя. С точки зрения злоумышленника очень удобно, когда на всех кассах страны будет стоять одно и то же программное обеспечение.

2. Отсутствие средств защиты информации? Коллеги, поправьте меня, но никакой информации об установке модуля защиты я не нашла.

3. Канал передачи данных. Его тоже нужно защищать.

4. Хранилище данных в налоговой. База, которая содержит данные о покупках за наличные интереса не представляет. А вот за безналичные... Номера карточек покупателей будут храниться в общей базе, доступ к которой нужно будет тщательно защищать. Все мы знаем, что в некоторых интернет-магазинах можно рассчитаться просто по номеру карты. 

Размышления достаточно сумбурные, информации в Интернете крайне мало. Мой комментарий (и комментарии других экспертов) Вы можете прослушать в моей группе ВКонтакте: http://vk.com/kshudrova (аудиофайл "О кассах").

Страница Блога: shudrova.blogspot.ru

Зима. Лебяжье. Романов Роман. Источник

Одно интересное интервью и немножко больше информации обо мне

Добрый вечер, дорогие читатели! В пятницу ничего серьезного обсуждать не хочется. Поэтому я Вам просто дам ссылочку на интервью представителя Роскомнадзора. О том, что каждый должен иметь право на забвение, философская вещь :) Как убирать данные из архивов поисковиков я так и не поняла. Может вы разберетесь. 

А еще раздел "Обо мне" обновился и теперь там много всего, можете почитать здесь.

Хороших всем выходных!

Страница Вконтакте: http://vk.com/kshudrova
Блог: http://shudrova.blogspot.ru

BYOD поможет сэкономить?

Добрый вечер, дорогие читатели! Тема сегодняшней заметки - технология BYOD (Bring Your Own Device — “принеси свое собственное устройство”). Ноутбук, планшет, смартфон стали "джентельменским набором" для многих. Некоторые работодатели настроены использовать техническую оснащенность сотрудников в своих интересах. Действительно, зачем покупать стационарные компьютеры, когда пользователи могут принести свои ноутбуки и работать на них? С одной стороны работник чувствует себя практически "как дома" за родным планшетом, с другой стороны - серьезная экономия на технике. 

Естественно актуальными становятся проблемы безопасности:

1. Оборудование периодически оказывается за пределами контролируемой зоны - сотрудники забирают домой свою технику, оно и понятно, частная собственность, как никак.
2. Настройки средств защиты информации могут быть изменены. Здесь речь идет в том числе о психологическом факторе - "это мой ноутбук и я буду настраивать его так как мне удобно".
3. Даже если доступ к информации организован в терминальном режиме, данные могут быть сохранены на жестком диске (хотя бы и в качестве скриншотов), а потом использованы в корыстных целях.

Кроме проблем безопасности есть еще некоторые неприятные моменты:

1. Мобильное устройство обычно подразумевает использование беспроводных сетей. Организации придется организовать точку доступа или раздавать модемы.
2. Возникнет проблема с аудитом - поставить ДЛП систему на домашнее устройство сотрудника вряд ли получится :)
3. Сотруднику тяжело настроиться на рабочий лад, не заходить в социальные сети, блоги, на сайты новостей, когда все к этому так располагает - свое устройство, бесплатный широкополосный доступ в Интернет, отсутствие контроля.
4. Ограничить список внешних устройств тоже не получится. Вряд ли Вам принесут на учет флешки и диски родственников и друзей :)
5. Придется закупать антивирусные программы и другие СЗИ, а потом еще и уговаривать (заставлять) их поставить. Ну и как говорилось выше - настройки могут быть изменены:)
6. Мобильное устройство может быть потеряно вместе с хранящейся на нем коммерческой тайной.

Воот. В защиту BYOD хочу сказать, что для сотрудников, работающих дома, решение хорошее, но это уже не совсем bring :) Ну и для руководителей организации, естественно, удобство в командировках и на встречах как никак, хотя для директоров обычно все-таки покупается служебный ноутбук.

На тему статьи меня натолкнул материал, присланный на отзыв, его можно прочитать здесь, вместе с моим экспертным мнением.

Страница ВК: http://vk.com/kshudrova
Мой блог: http://shudrova.blogspot.ru/

Источник

Законодательство по защите персональных данных

Добрый вечер, дорогие читатели! Законодательство в области персональных данных стремительно меняется. В июле я размещала перечень нормативно-правовых актов , и вот он уже устарел :) Спешу исправить ситуацию!

Итак. за прошедшие три месяца были утверждены четыре важных документа.

1. Федеральный закон N 216-ФЗ от 21.07.2014 «О внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных законодательных актов (положений законодательных актов) Российской Федерации в связи с принятием Федеральных законов «О страховых пенсиях» и «О накопительной пенсии» (вступает в силу с 1 января 2015 года). Изменения незначительные: В пункте 2.3 части 2 статьи ФЗ «О персональных данных» слова «законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях» заменены словами «пенсионным законодательством Российской Федерации».
2. Приказ ФСБ № 378 от 10 июля 2014 г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности». Зарегистрировано в Минюсте России 18 августа 2014г. N 33620. Об этом приказе я упомянула с своем прошлом посте, там же указаны ссылки с интересными обзорами коллег на эту тему - ссылка.
3. Федеральный закон № 242-ФЗ от 21 июля 2014 года «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» (начало действия документа - 01.09.2016). О 242-ФЗ можно почитать вот здесь.
4. Постановление Правительства № 911 от 6 сентября 2014 г. «О внесении изменений в перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами». Анализ нового Постановления представлен здесь.

Может быть я что-то пропустила?

Моя страница ВК: http://vk.com/kshudrova

Мой блог: http://shudrova.blogspot.ru/

WillIam Robert Thrasher. Источник