среда, 20 декабря 2017 г.

Проверки Роскомнадзора по персональным данным

Добрый вечер, дорогие читатели! Вышла вторая часть моей статьи о проверках по персональным данным, на этот раз речь идет о том, как проходят проверки, а также составлен примерный перечень документов первой необходимости.
Обе части статьи находятся в открытом доступе:

Приятного чтения!

Петр Козлов, «Старые игрушки». Источник

Присоединяйтесь к моей странице ВК: https://vk.com/kshudrova.

пятница, 15 декабря 2017 г.

Почему нужно защищать персональные данные?

Добрый день, дорогие читатели! Сегодня я хотела бы поговорить с вами на одну очень важную тему - "Зачем защищать персональные данные?" Такой вопрос задают себе и другим не только люди, далекие от информационной безопасности, но и матерые специалисты в этой области. К примеру, Алексей Лукацкий в своем сентябрьском посте приходит к выводу о том, что эта тема для него лично не интересна. Думаю, мысли о том, что вся эта возня с персональными данными бессмысленна, приходят, приходили и будут приходить к каждому из тех, кто этим занимается. Причин тому несколько: формальный подход регулятора, низкая вероятность проверки, маленькие штрафы и неоднозначная судебная практика. Специалисту постоянно приходится доказывать руководству необходимость защиты персональных данных, хотя и у него самого на этот счет имеются большие сомнения. Вот чтобы таких мыслей стало меньше, давайте разберемся, зачем все-таки защищать персональные данные?
1. Каждый из нас является субъектом персональных данных. На мой взгляд, относиться к чужой личной информации бережно нужно хотя бы из солидарности. И потом, закон появился только в 2006 году, а понимание неприкосновенности некоторы персональных данных было задолго до этого. К примеру, размер зарплат руководства охраняют на всех предприятиях в независимости от того, признает ли организация у себя наличие ИСПДн.
2. Игнорирование мер безопасности может привести к утечкам, а те, в свою очередь, к репутационным рискам. Для крупных, а тем более международных организаций, это критично.
3. Иногда нужно выполнять требования головной организации, тогда филиалам не остается ничего другого, как заняться защитой персональных данных по шаблонам и инструкциям, спущенным сверху. 
4. Существует повышенный риск внеплановых проверок в сфере обслуживания и при наличии активно посещаемого сайта. Вероятность поступления жалобы на банк, больницу, школу или институт с течением времени стремится к единице. Поэтому лучше принять меры заранее, чем получить штраф и в конечном итоге все-таки выполнить все требования регулятора.
5. Наличие у организации лицензий в сфере ИБ. Ситуация сапожника без сапог, на мой взгляд, абсолютно недопустима.
6. Законодательство в сфере персональных данных постепенно идет в сторону ужесточения, увеличения штрафов, формируется судебная практика, поэтому начать заниматься защитой персональных данных нужно как можно раньше, так как процесс оформления полного комплекта документов для ИСПДн не быстрый.
7. Персональные данные часто пересекаются с другими видами тайн, например, с банковской или врачебной, иногда - с коммерческой тайной. Защищая одно, придется защитить и другое.
8. При проведении аудита ИСПДн можно найти много неоптимальных, а иногда и опасных бизнес-процессов (отправка документов на нерабочую электронную почту, вынос флешек за пределы контролируемой зоны).
9. В последнее время можно отдельно выделить такую причину, как желание организации присоединиться к Кодексу добросовестных практик.
10. Защита персональных данных в организации создает потенциальную возможность наказать и даже уволить работника за нарушения в этой сфере, что иногда бывает полезным.
11. Все чаще при оформлении договоров между двумя организациями особое внимание обращают на выполнение взаимных обязательств по защите полученных в ходе взаимодействия персональных данных.
12. Ну и в качестве последней причины я бы указала защиту персональных данных, как самоцель, с целью получения денег за свои услуги в этой области.

А как считаете Вы?

Андо Хиросигэ «Атагосита улица Ябукодзи». Источник

https://vk.com/kshudrova - присоединяйтесь к групп ВКонтакте. Здесь ссылки на свежие посты, новости мира ИБ и интересные статьи других авторов, а также обсуждения наболевших вопросов.


вторник, 14 ноября 2017 г.

Проверки Роскомнадзора по персональным данным. Часть 1

Добрый день, дорогие читатели! Вышла в свет моя новая статья по теме защиты персональных данных, на этот раз она посвящена проверкам Роскомнадзора. Ознакомиться со статьей в открытом доступе можно здесь
Также я хочу поделиться с вами полными версиями таблиц, представленных в тексте.

Таблица 1



Граждане
Должностные лица
Индивидуальные предприниматели
Юридические лица
1
Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных п.2, если эти действия не содержат уголовно наказуемого деяния.
предупреждение или наложение административного штрафа в размере от 1000 до 3000 рублей;

предупреждение или наложение административного штрафа в размере от 5000 до 10.000 рублей;
не указано
предупреждение или наложение административного штрафа в размере от 30.000 до 50.000 рублей.
2
Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных,
наложение административного штрафа в размере от 3000 до 5000 рублей;

наложение административного штрафа в размере от 10.000 до 20.000рублей;
не указано
наложение административного штрафа в размере от 15.000 до 75.000 рублей.
3
Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных
предупреждение или наложение административного штрафа в размере от 700 до 1500 рублей;
предупреждение или наложение административного штрафа в размере от 3000 до 6000 рублей;
предупреждение или наложение административного штрафа в размере от 5000 до 10.000 рублей;
предупреждение или наложение административного штрафа в размере от 15.000 до 30.000 рублей
4
Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, -
предупреждение или наложение административного штрафа в размере от 1000 до 2000 рублей;
предупреждение или наложение административного штрафа в размере от 4000 до 6000 рублей;
предупреждение или наложение административного штрафа в размере от 10.000 до 15.000 рублей;
предупреждение или наложение административного штрафа в размере от 20.000 до 40.000 рублей.
5
Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
предупреждение или наложение административного штрафа в размере от 1000 до 2000 рублей;
предупреждение или наложение административного штрафа в размере от 4000 до 10.000 рублей;
предупреждение или наложение административного штрафа в размере от 10.000 до 20.000 рублей;
предупреждение или наложение административного штрафа в размере от 25.000 до 45.000 рублей.
6
Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния.
наложение административного штрафа в размере от семисот до двух тысяч рублей;
наложение административного штрафа в размере от 4000 до 10.000 рублей;
наложение административного штрафа в размере от 10.000 до 20.000 рублей;
наложение административного штрафа в размере от 25.000 до 50.000 рублей.
7
Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных.
предупреждение или наложение административного штрафа в размере от 3000 до 6000 рублей.

не указано
не указано
не указано
Таблица 2
Нарушение
Краткое описание
2016
2017
Нормы законодательства
1
Представление в уполномоченный орган уведомления об обработке персональных данных, содержащего неполные и (или) недостоверные сведения
Уведомление об обработке персональных данных
+
+
В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.
(Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» ст. 22, п. 6)
2
Непредставление в уполномоченный орган сведений о прекращении обработки персональных данных или об изменении информации, содержащейся в уведомлении об обработке персональных данных
Уведомление об обработке персональных данных
+

В случае изменения сведений, указанных в части 3 настоящей статьи, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.
(Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» ст. 22, п. 7)
3
Отсутствие у оператора места (мест) хранения персональных данных (материальных носителей), перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ
Места хранения персональных данных
+

Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ (Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», п. 13)
4
Отсутствие в поручении лицу, ответственному за обработку персональных данных, обязанности соблюдения конфиденциальности персональных данных и обеспечения их безопасности, а также требований к защите обрабатываемых персональных данных
Соблюдение конфиденциальности персональных данных


+
+
Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.
(Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных», ст. 6, п. 3)
5
Обработка персональных данных в случаях, не предусмотренных Федеральным законом
Незаконная обработка персональных данных
+

Обработка персональных данных должна осуществляться на законной и справедливой основе.
(Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных», ст. 5, п. 1)
6
Несоответствие содержания письменного согласия субъекта персональных данных на обработку персональных данных требованиям законодательства Российской Федерации
Согласие на обработку персональных данных
+
+
В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности: …
 (Федеральный закон от 27.07.2006 N 152-ФЗ  «О персональных данных» ст. 9, п. 4)
7
Непринятие оператором мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами
Меры по обеспечению выполнения обязанностей
+
+
1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться:
(Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» ст. 18.1, п. 1)
8
Непринятие оператором, являющимся юридическим лицом, мер по назначению ответственного за организацию обработки персональных данных
Лицо, ответственное за организацию обработки персональных данных

+
Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться:
1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;
(Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных», п. 1, ст. 18.1)
9
Невыполнение в установленный срок законного предписания органа (должностного лица) Уполномоченного органа по защите прав субъектов персональных данных, осуществляющего государственный надзор (контроль), об устранении нарушений законодательства Российской Федерации в области персональных данных
Предписания

+

Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), муниципальный контроль, об устранении нарушений законодательства -влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от десяти тысяч до двадцати тысяч рублей.
(«Кодекс Российской Федерации об административных правонарушениях" от 30.12.2001 N 195-ФЗ», п. 1 ст. 19.5)
10
Несоответствие типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, требованиям законодательства Российской Федерации
Типовые формы документов

+
При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:…
(Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», п. 7)


https://vk.com/kshudrova - подписывайтесь на страницу блога ВКонтакте. Здесь ссылки на свежие посты, новости мира ИБ и интересные статьи других авторов.

пятница, 20 октября 2017 г.

Код ИБ Красноярск. Эксклюзив - видео выступления Константина Михайлова

Добрый день, дорогие читатели! Уже во второй раз в Красноярске прошла конференция "Код информационной безопасности". Видеозаписи докладов доступны в рамках платного пакета "Профи" (до конца года можно приобрести контент). Однако организаторы специально для Красноярского отделения RISC сделали отличный подарок! Делюсь с Вами записью выступления Константина Михайлова* (Доклад "Практика управления ИТ и ИБ"). 

*Константин Михайлов - директор по ИТ ПВП "Контакт", Красноярский эксперт в сфере ИБ. Также в блоге есть запись отличного семинара Константина о медицинских учреждениях в рамках клуба RISC.


https://vk.com/kshudrova - подписывайтесь на группу блога ВК. Идет марафон постов о персональных данных, разыгрывается кружка с логотипом RISC

вторник, 3 октября 2017 г.

Код ИБ в Красноярске

Добрый день, дорогие читатели! В этот четверг (5 октября) в Красноярске пройдет конференция "Код информационной безопасности". В прошлом году это мероприятие у нас провели впервые, я выступала куратором. Прочитать как это было можно здесь. К сожалению, в этом году поучаствовать лично у меня не получится, но я очень рекомендую это событие к посещению. 
Так как Красноярское отделение RISC оказывает информационную поддержку Коду ИБ, расскажу Вам немного о мероприятии.
В Красноярске события по информационной безопасности такого масштаба пока не проводятся, так что есть прекрасная возможность не только послушать интересные доклады, но и увидеть старых друзей, а также завести полезные знакомства.
В этом году изменилась площадка проведения конференции. Теперь это IBIS KRASNOYARSK CENTER, начало все также в 10 утра. Также я помню, что вы спрашивали про видео записи выступлений. В этом году можно зарегистрироваться платно и получить все необходимые файлы. Стоимость расширенного пакета до конференции составляет всего 1250 рублей. В него входят как видеозаписи выступлений, так и презентации, видео- и письменный конспекты, а также фирменный сувенир. Если решите купить записи после - цена составит 2500. Какую бы форму участия вы не выбрали, платную или бесплатную, необходимо обязательно зарегистрироваться заранее (не забываем про вкусные кофе-брейки и обед). 
Программа конференции уже доступна. Я очень рада, что в этом году нас снова радует своим участием Владимир Бабин (начальник отдела технической защиты информации), а также впервые выступает Константин Михайлов (эксперт по ИБ). Видеозапись семинара Константина в клубе RISC вы можете посмотреть у меня в блоге. Еще я очень рекомендую Вам послушать Илью Шабанова. Портал anti-malware.ru является одним из главных источников новостей мира ИБ, так что Илья личность практически легендарная. В общем, со всех сторон получается, что нужно идти! Ну а в следующем году я обязательно к вам присоединюсь :)


Вступайте в группу блога ВК, сегодня стартовал розыгрыш фирменной кружки - https://vk.com/kshudrova.

пятница, 29 сентября 2017 г.

Молодежная палата Роскомнадзора

Добрый вечер, дорогие читатели! Сегодня я хочу поделиться новостью с сайта Роскомнадзора. Вчера прошло заседание Молодежной палаты Консультативного совета при Уполномоченном органе по защите прав субъектов персональных данных (ссылка). Было анонсировано проведение дебатов по тематике защиты персональных данных на базе Московского государственного университета им М.В. Ломоносова и Российского государственного университета нефти и газа им. И.М. Губкина. Также на сайте указано, что обсуждался вопрос создания дискуссионных клубов на базе высших учебных заведений страны (ссылка)
Информацию о Молодежной палате Консультативного совета можно найти на сайте РКН (ссылка), положение находится здесь. Чем занимаются ребята? Ну, например, при их участии были разработаны рекомендации по составлению политики обработки персональных данных (ссылка). Возраст участников 18-30 лет. 
По этому поводу у меня две мысли - первая о том, что на вступление в их юные ряды у меня осталось где-то дней 30 (жаль), а вторая - имеет ли смысл создавать такие клубы? 
Как вы уже хорошо знаете, я руковожу красноярским отделением RISC и занимаюсь проведением семинаров по персональным данным, участие в которых принимают в основном студенты и молодые специалисты. Мы стараемся привлекать в качестве докладчиков людей взрослых, занимающих руководящие должности. На мой взгляд, именно такая дискуссия молодости и опыта имеет смысл. 
Мне кажется, что дебаты, которые проводят студенты для студентов очень поверхностны. Что можно обсуждать на таких собраниях? Идеи, мнения. Это очень здорово, но зачастую не имеет никакого отношения к реальной жизни. Все кто занимается защитой персональных данных на практике знают типовые проблемы и спорные вопросы. Это биометрия, моделирование угроз, судебная практика, данные о здоровье и т.д. Для дискутирования на эти темы недостаточно прочитать несколько нормативных актов, нужно также знать об ограниченности бюджета, времени, персонала и целесообразности выполнения тех или иных мероприятий. Молодого человека в 18-20 лет вопросы экономии денег оператора волнуют мало, это можно увидеть в экономическом обосновании дипломных работ.
В то же время если собирать людей, занятых исключительно практической деятельностью, дискуссия будет неполноценной. Мы получим простое перечисление проблем. Нужен свежий взгляд, который можно получить от молодежи. Лично я за баланс, а как считаете вы?
А.М. Герасимов. После дождя. Источник
https://vk.com/kshudrova - присоединяйтесь к клубу ВК! Здесь я размещаю свежие новости из мира ИБ, интересные посты других авторов и отвечаю на вопросы.

вторник, 19 сентября 2017 г.

Судебная практика в информационной безопасности

Добрый вечер, дорогие читатели! Вышел в свет Журнал IT-Manager: № 08/2017. Получить электронную версию можно бесплатно. Моя статья в номере доступна по ссылке - Судебная практика в информационной безопасности. Приятного чтения!

ЗЫ. В октябрьском номере вас ожидает статья про проверки Роскомнадзора.

Покидова Галина. Рябина. Источник


https://vk.com/kshudrova - подписывайтесь на официальную группу блога ВК.

пятница, 8 сентября 2017 г.

Оффтоп. RSS блога - как решить проблему с feedburner

Добрый день, дорогие читатели! Вчера совершенно случайно обнаружила, что не работают зеркала блога на Securitylab и Bis-expert. И все это продолжается с июня. Выяснилось, что возникла ошибка на моей стороне - был переполнен файл фида (более 1024Кб). За 6 с лишним лет ведения блога предел-таки был достигнут :) Как решить эту проблему было непонятно, так как feedburner просто предлагал обратиться на технические форумы. Я нашла следующее решение - не загружать весь архив блога в файл фида, а ограничиться последними 15ю публикациями (значение выбиралось методом тыка - 20 уже не пролазило, 3 - было маловато и т.д.). Для того, чтобы показывались последние 15 постов, нужно заполнить значение Original Feed следующим образом:

http://shudrova.blogspot.com/feeds/posts/default?max-results=15


Минусом моих экспериментов стала замена файла фида (как одна из проб найти решение), а, следовательно, потеря всех подписчиков RSS, но это дело наживное :)

ЗЫ. Если вы следили за моим блогом по зеркалам, то наверняка пропустили вот эти посты:

Приятного чтения!

https://vk.com/kshudrova - ссылки на свежие посты, новости мира ИБ и интересные статьи других авторов. Подписывайтесь!