суббота, 31 декабря 2016 г.

Письмо деду морозу по ИБ

Здравствуй, дорогой Дедушка Мороз! Пишет тебе Ксюша Шудрова, 29 лет. В этом году я вела себя хорошо: стала руководителем сибирского отделения RISC, была куратором код ИБ в Красноярске, выступала на местном телевидении, общалась с читателями, вела проект Лица ИБ, участвовала в квестах по ИБ, завела аккаунт в инстаграм (@boyarinya_marshmelova), писала для Росконтроля. 
В этом году в отечественной ИБ отрасли было много чего интересного! В том числе:

  • Вышла новая Доктрина.
  • Отменили старые документы ФСБ по ПДн.
  • Заблокировали Linkedin и анонимайзеры.
  • Вышло положение ЦБ № 552-П (ссылка).
  • Законопроект о штрафах в сфере ПДн (ссылка).
  • Президент высказался о льготах ИТ-отрасли (ссылка).
  • Государственный сегмент Интернет (ссылка).
  • Пакет Яровой (ссылка).
  • ФСТЭК сообщила об уязвимостях в сертифицированных СЗИ (SecretNet, Dallas Lock).
  • В 2016м исполнилось 10 лет закону "О персональных данных".
  • Покемоны :)

Чего бы я хотела в следующем году:
1. Персональные данные - собственность субъекта (ссылка).
2. Много интересных конференций в регионах, в том числе в рамках сообщества RISC.
3. Методику определения угроз безопасности в информационных системах (от ФСТЭК).
4. Больше информации об инцидентах для того, чтобы учиться на ошибках.
5. Меньше блокировок Интернет-ресурсов.
6. Упрощение процедуры отнесения к ГИС (ссылка).
7. Анонимность в сети Интернет, свободный доступ к мировым ресурсам информации.
Источник
Также подтверждаю, что данное письмо написано в соответствии с рекомендациями РКН к таким письмам и не включает моих персональных данных (кроме имени и возраста).

Дорогие читатели с наступающим Новым годом! Крепкого здоровья и успеха в делах, а также большого личного счастья! Спасибо, что были со мной в 2016 году, давайте дружить дальше!

https://vk.com/kshudrova - свежие посты и интересные материалы других авторов, а также новости мира ИБ.

четверг, 1 декабря 2016 г.

Общественные персональные данные

Добрый вечер, дорогие читатели! Хочу обсудить с вами сегодня одну животрепещущую тему. В последнее время из-за дефицита времени я меньше слежу за новостями, просматриваю их по диагонали. Но за вот эту новость глаз зацепился (оригинал здесь). "Большие данные россиян должны принадлежать государству". "Пользователь отпустил их в информационное пространство, и утекло все, что он там написал. Значит, это не их принадлежность", - заявила Касперская. Мы все, конечно, понимаем какие "общественные интересы" здесь преследуются, далее речь идет о сертификатах и принудительном хранении на территории государства. Потребуются новые инструменты и т.д. 
Давайте попытаемся рассмотреть эту идею с нескольких сторон.
Субъект
Итак, что же значит для субъекта - передать персональные данные в собственность государства (речь шла о больших данных, но это не так уж важно). Начнем с ФЗ № 152 "О персональных данных". В законе прямо не сказано, кто владеет своими персональными данными, но то, что это субъект вытекает из контекста. У субъекта в законе права, у оператора - обязанности. На этом строится молодая еще судебная практика по персональным данным - у субъекта есть возможность свои права отстоять, в том числе в суде, получить компенсацию морального вреда. 
Персональные данные, которые оказываются в Интернете весьма многообразны, здесь вам и платежи в онлайн-магазинах, денежные переводы, анкеты на сайтах знакомств, результаты медицинских анализов, оценки школьников, да что угодно. Хочу ли я, чтобы все это надежно хранилось в одном месте? Не очень. Сама фраза "отпустил - утекло" странно не согласуется с недавним правом на забвение. Ну утекло, а теперь я хочу убрать, удалить информацию о себе. Что делать? У государства просить разрешения, видимо.
Оператор
Каждый раз когда проходит конференция, обсуждение, вебинар, да что угодно по персональным данным, поднимается тема отличия персональных данных от других сведений конфиденциального характера. Государственную тайну защищаем по требованиям государства (владелец), коммерческую - по требованиям предприятия (владелец), а персональную - на усмотрение оператора (не владелец!). Из-за этого возникают проблемы. Оператору сложно найти деньги и мотивацию на защиту персональных данных, штрафы маленькие, проверки редкие, коммерческой выгоды никакой, да и не посадят. Если с этой точки зрения смотреть, передача данных в ведение государства теоретически должна защищенность повысить. Практически мы уже наблюдаем это повышение защищенности на примере 242-ФЗ. 
Регулятор
Регуляторам будет удобнее. Государство - хозяин, государство требования выдвинуло, оператор выполнил, государство проверило.

А как считаете Вы?
Винсент Ван Гог. Арена в Арле. Источник
https://vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов.
@boyarinya_marshmelova -  по тэгу #иблокнот можно найти зарисовки на тему защиты информации.