ПоСТравление с новым годом

С наступающим новым годом, коллеги! Начнем по порядку: итоги, планы, благодарности и пожелания.

Итак, итоги. 2019 год оказался для меня довольно сложным в личном плане, так как с самого детства я жила мечтой о степени кандидата наук, защитилась в конце 2018 года и приуныла. Что делать дальше, к чему стремиться? Раньше было просто и понятно: детский сад, школа, университет, аспирантура, защита (упустим параллельно идущую работу, обозначив ее, как фон). И вот последние документы по кандидатской были доделаны в прошлом ноябре, все прошло, что дальше делать непонятно. Вариант с докторской даже не рассматривался. Значит, нужно придумать что-то самостоятельно. Благо в декретном отпуске есть время на то, чтобы подумать о смысле жизни и т.д. Вот я и думала. Проходила бесплатные и бюджетные курсы по личному бренду и созданию курсов. Размышляла. Подняла свою проф библиотеку и даже примерно наметила план самообразования. Чувствую, не цепляет. Обучение важно, но этого мало, хочется сделать что-то свое, новое. Летом провела большой трехчасовой мастер-класс на конференции paymentsecurity в Санкт-Петербурге, но так увлеклась, что материала заготовила гораздо больше, чем нужно. Смотрела, смотрела на этот материал и ничего не придумала. Отвлеклась на проект с Сергеем Борисовым - мы провели уже 3 совместных вебинара, запись третьего скоро появится в наших блогах. Пока готовилась к вебинарам, еще подкопила материал. И в какой-то момент увидела в этой мешанине файлов и шпаргалок идею, структуру и примерное содержание книги. В ноябре книга вышла, и я поняла, что кризис пройден. 

К каким выводам за этот год я пришла?

1. Вебинары - это не страшно. Хотя пришлось потратить время на подбор бесплатной платформы, качество трансляции сейчас вполне сносное.

2. Продавать - это не страшно. Назначить цену книге было некомфортно, первым покупателям хотелось отправить файл бесплатно, но я себя переборола.

3. Звонки - признак плохого заказа. Правило без исключений. Если люди не в состоянии описать свои требования письменно, все будет плохо.

4. Вдохновения ждать не надо. Сажусь и делаю.

5. Писать надо в тишине. Сажусь и делаю в тишине.

6. Писать коротко. Задач очень много и в приоритете - сын, время у него стараюсь не воровать.

7. Говорить "нет" проектам. Это прямо открытие.

8. Требовать выполнения обязательств. Открытие еще почище предыдущего.

9. Статус не важен. Должностями френдов больше не интересуюсь.

В этом году я хочу выразить благодарность своей семье в целом, мужу и сыну в частности, коту в особенности. А еще у меня появилась племянница в этом году. Все вдохновение черпаю в родных и близких, и своих детских мечтах и воспоминаниях. Спасибо друзьям и хорошим знакомым за то, что есть. 

Планы на следующий год. Вебинары, посты. Буду искать новые форматы.

Благодарности. Спасибо Сергею Шустикову, Ирине Лонкиной и Славе с Лизой за гостеприимство, экскурсию по Питеру и подарки. Спасибо Маше Сидоровой за многое, а также всей команде RISC, рада быть с вами. Спасибо Сергею Борисову за совместный проект и энтузиазм. Staffcop за сотрудничество и мерч. Securitylab за ежегодное признание в качестве блогера. Каждому кто купил мою книгу, это очень важно для меня и дает вдохновение. Евгению Безгодову, Владимиру Безмалому, Моне Архиповой, Илье Борисову, Андрею Прозорову, Рустему Хайретдинову, Алексею Лукацкому, Роману Жукову, Ивану Пискунову, Михаилу Долгачеву, Елене Артамоновой, Дмитрию Семененко, Сергею Воробьеву и многим другим за общение в сети и не только, а также интересные посты.

Подписчикам групы ВК за сообщество профессионалов и взаимопомощь. Отдельная благодарность Алексею Денисову за предложенные новости, Сергею Симаку за посты и комментарии. За активное участие в жизни сообщества также спасибо Виталию Пикову, Наталье Мельниковой, Ивану Арнаутову, Алексею Шедову, Михаилу Антипову и многим-многим другим. Нас уже 1170 человек. Спасибо!

Пожелания. Желаю здоровья вам и вашим близким! А еще успеха в делах, любви, хорошего настроения и финансового благополучия! Пусть в вашем доме будет безопасно и надежно!

Ну и, как всегда, минутка саморекламы. В ноябре вышла моя вторая книга по защите персональных данных. Чтобы приобрести "Персональные данные: как перестать беспокоиться и начать защищать?", обратитесь в личные сообщения:

Вконтакте: https://vk.com/shudrova

Facebook: https://www.facebook.com/profile.php?id=100001253566519

telegram: @KseniaShudrova

instagram: @boyarinya_marshmelova 

Книга электронная! Стоимость - 200 р.

Приз за лучший вопрос от RISC

Коллеги, важное дополнение к предыдущему посту! За лучший вопрос на межблогерском вебинаре с Сергеем Борисовым 25 декабря мы разыграем приз от сообщества RISC. Да это же книга-пазлбук!!! Фото ниже. Мне самой приз очень-очень нравится!

В конкурсе вопросов будут участвовать как вопросы, присланные заранее, так и те, что вы зададите в прямом эфире, отправим приз в любой город России. Так что дерзайте! Шанс есть у всех!

Russian Information Security Club (#RISC) – сообщество специалистов по информационной безопасности, основанное в мае 2014 года группой энтузиастов, имеющих многолетний опыт работы в этой области. Штаб товарищества RISC находится в Санкт-Петербурге.

Руководит клубом Мария Сидорова.

Ссылка на вебинар (не забудьте добавить напоминалку в свой календарь).

Присоединяйтесь к нам в соцсетях:
Группа Сергея Борисова ВК
Группа Ксении Шудрова ВК

Ну и, как всегда, минутка саморекламы. В ноябре вышла моя вторая книга по защите персональных данных. Чтобы приобрести "Персональные данные: как перестать беспокоиться и начать защищать?", обратитесь в личные сообщения:

Вконтакте: https://vk.com/shudrova

Facebook: https://www.facebook.com/profile.php?id=100001253566519

telegram: @KseniaShudrova

instagram: @boyarinya_marshmelova 

Книга электронная! Стоимость - 200 р.

Приглашаем на межблогерский вебинар!

Добрый день, коллеги! Мы с с Сергеем Борисовым подготовили для вас совместный вебинар. Вебинар пройдет 25 декабря в 15:00 по московскому времени, участие абсолютно бесплатно! 
Ссылка на вебинар (не забудьте добавить напоминалку в свой календарь).

Темы в этот раз не будет, точнее, она будет свободная. Только ваши вопросы и наши ответы. На сегодняшний день собрано уже 19 вопросов (о защите персональных данных и не только). Но еще не поздно задать свой! Для этого вы можете написать его здесь или в соцсетях.

Чтобы вам точно захотелось принять участие в вебинаре, прилагаю записи предыдущих вебинаров:
Запись вебинара "Угрозы и требования"
Запись первого вебинара по ПДн

Присоединяйтесь к нам в соцсетях:
Группа Сергея Борисова ВК
Группа Ксении Шудрова ВК

Ну и, как всегда, минутка саморекламы. В ноябре вышла моя вторая книга по защите персональных данных. Чтобы приобрести "Персональные данные: как перестать беспокоиться и начать защищать?", обратитесь в личные сообщения:

Вконтакте: https://vk.com/shudrova

Facebook: https://www.facebook.com/profile.php?id=100001253566519

telegram: @KseniaShudrova

instagram: @boyarinya_marshmelova 

Книга электронная! Стоимость - 200 р.

Свежие судебные решения 13.11 КоАП

Коллеги, делюсь свежими судебными решениями:

Государственная больница - штраф 15.000р. отменен (смотрите доводы суда)

Частная клиника - штраф 10.000р. за отсутствие согласия субъекта.

Физическое лицо - предупреждение за публикацию ПДн в открытом доступе.

Школа - предупреждение за отсутствие политики обработки ПДн.

Акционерное общество - предупреждение.

Общество с ограниченной ответственностью - предупреждение.

Чтобы приобрести мою книгу "Персональные данные: как перестать беспокоиться и начать защищать?", обратитесь в личные сообщения:

Вконтакте: https://vk.com/shudrova

Facebook: https://www.facebook.com/profile.php?id=100001253566519

telegram: @KseniaShudrova

instagram: @boyarinya_marshmelova 

Книга электронная! Стоимость - 200 р.

Как отличить хорошие шаблоны для ИСПДн от плохих?

Добрый день, коллеги! Меня часто, очень часто спрашивают, где найти хорошие шаблоны для ИСПДн? Признаюсь честно, я этого не знаю. Зато я знаю, как отличить хорошие шаблоны от плохих.

Вот некоторые признаки плохих шаблонов:

1. Дата составления – до 2014 года (в 2013м появился 21 приказ ФСТЭК России, рекомендации по обезличиванию, в 2014м – приказ 378 ФСБ России).

2. Для ГИС указан 4 класс защищенности (отменен в 2017м году).

3. Определения из старой редакции ФЗ 152. Например, определение персональных данных. Если в первых редакциях оно звучало следующим образом:

«Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация».

Сейчас определение звучит немного иначе:

«Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».

4. Сфера – образование (рекомендации выпускались аж в 2009м году).

5. В тексте упоминается "класс ИСПДн" вместо "уровня защищенности ПДн".

6. Старые суммы штрафов по КоАП (изменения произошли в 2017м году).

7. Согласие не соответствует требованиям закона.

8. Документов очень мало. В хорошем комплекте их будет 30 и более.

9. Упоминание типовых и специальных ИСПДн (из приказа трех).

10. В списке нормативной базы содержатся:

• Федеральный закон от 20 февраля 1995 г. № 24-ФЗ «Об информации, информатизации и защите информации» - отменен.
• Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 г. Москва «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» - отменен.
• Приказ трех: Приказ ФСТЭК РФ, ФСБ РФ и Минкомсвязи РФ от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных» - отменен. Документ утратил силу - приказ ФСТЭК РФ N 151, ФСБ РФ N 786, Минкомсвязи РФ N 461 от 31.12.2013.
• Четверокнижие: Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных - отменен. Документ утратил силу в связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58.
• Четверокнижие: Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных -  - отменен. Документ утратил силу в связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58.
• Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утвержденные руководством 8 Центра ФСБ России 21.02.2008 № 149/54-144 – не действует (Сообщение ФСБ России от 21.06.2016).
• Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденные руководством 8 Центра ФСБ России 21.02.2008 № 149/6/6-622 – не действует (Сообщение ФСБ России от 21.06.2016).
• Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» - отменен.

А как самостоятельно подготовить комплект документации вы можете узнать из моей новой книги. Чтобы приобрести книгу "Персональные данные: как перестать беспокоиться и начать защищать?", обратитесь ко мне в личные сообщения:

Вконтакте: https://vk.com/shudrova

Facebook: https://www.facebook.com/profile.php?id=100001253566519

telegram: @KseniaShudrova

instagram: @boyarinya_marshmelova 
Книга электронная! Стоимость - 200 р.

Источник

Собираем вопросы на совместный вебинар с Сергеем Борисовым

Добрый день, коллеги! Отличная новость! Скоро мы с Сергеем Борисовым проведем новый вебинар. О чем он будет? Обо всем, что вам интересно! Никакой темы, никаких докладов, только ответы на ваши вопросы. Но есть одно условие! Чтобы мы могли качественно подготовиться, вопросы нужно присылать заранее.

Какие вопросы у нас уже есть? Про аттестацию ГИС, про согласие, поручение на обработку и базовые определения в теме ПДн. 

Ждем новые интересные вопросы (в личные сообщения или в комментариях)!

Ориентировочная дата вебинара - середина декабря. 

Про прошедшие вебинары:

Здесь и здесь

Все что касается темы СКЗИ будет рассмотрено на отдельном вебинаре, к которому мы сейчас активно готовимся, но он пройдет позже.

Ну и как же без саморекламы? Чтобы приобрести мою книгу "Персональные данные: как перестать беспокоиться и начать защищать?", обратитесь ко мне в личные сообщения:

Вконтакте: https://vk.com/shudrova

Facebook: https://www.facebook.com/profile.php?id=100001253566519

telegram: @KseniaShudrova

instagram: @boyarinya_marshmelova

Как написать и продавать книгу по ИБ. Мой опыт

Добрый день, коллеги! 13 ноября стартовали продажи моей электронной книги "Персональные данные: как перестать беспокоиться и начать защищать?" Для меня это был опыт новый и достаточно стрессовый. Первую книгу "Персональные данные: что было, что будет, чем сердце успокоится..." с 2015 года я распространяю бесплатно, изначально каждая ее глава была статьей на портале sec.ru. Доход был не великий, да я о нем и не думала, просто хотела поделиться своими знаниями.

Когда села за вторую книгу, решила действовать по накатанной - пишу, предлагаю какому-нибудь посреднику для публикации в открытом доступе. Или даже так - пишу, конвертирую в pdf и выкладываю. Но, когда начала писать, поняла, что работы очень много, на многие месяцы ежедневного труда. Если быть точной, начала писать в марте, а закончила в ноябре. Поэтому было принято нелегкое для меня решение брать деньги за книгу. Думаю, многие люди, которые никогда не занимались предпринимательской деятельностью, меня поймут - самому назначать цену своему продукту очень сложно. Привыкаешь, что тебя всегда оценивает работодатель или заказчик, а ты соглашаешься или нет. Еще сложнее вначале заниматься рекламой, то есть предлагать свой товар. Но втягиваешься быстро! 

Я уверена, что среди вас также есть люди, у которых накопился хороший материал и есть желание написать и продавать книгу. Но непонятно: с чего начать? Поделюсь своим опытом. 

Итак, какие проблемы пришлось решать.

1. Структура книги. Вопрос, который я не могла решить в течение многих месяцев. Если вы читали первую книгу, то знаете, что весь текст разделен на объемные темы, а внутри темы повествование идет в хронологическом порядке. Откуда есть пошла защита персональных данных, так сказать. В этот раз я категорически не хотела придерживаться такой структуры, а как по-другому сделать не знала. В какой-то момент я просто перестала думать о структуре и занималась сырым текстом. А потом мне попались на глаза книги об уходе за детьми. Как здорово все изложено: текст разделен на проблемы, можно читать с любого места, как справочник! Я поняла, что это то, что нужно. Оставалось дело за малым - определить основные проблемы. Но это меня ночью разбуди, я вам скажу, в чем боль специалиста по защите ПДн. 

2. Форма представления информации. Путем долгих размышлений пришла к выводу, что лучше делать больше текста и дополнять его исключительно там, где нужно таблицами и рисунками. Все-таки людям нужен текст, нужны выводы и цитаты, а также практические советы, на этом я и сосредоточилась. Поэтому в книге нет веселой инфографики. Здесь как говорится на вкус и цвет, лично мне нравится, когда сухо и по делу.

3. Объем материала. Материала у меня больше, чем на книгу, это понятно. После первых редакций его осталось 169 страниц, но в итоге книга вышла объемом 115 страниц. Почему так? Ушло все неактуальное и спорное, все, что может запутать. Никакого текста "для общего развития".

4. Актуализация материала. Это очень важно, при финальной вычитке нужно проверить каждый закон и подзаконный акт на актуальность, каждую цитату. Моргнешь, а в 17 приказ уже внесли изменения.

5. Формат книги. Вначале рассылала только docx, специально, чтобы читатель мог поправить содержимое при выходе новых документов, выделить цветом, скопировать что-то. Потом стала прикладывать дополнительно pdf. 

6. Редактура после продажи. Читатель обнаружил опечатки, я их все поправила и 17 ноября разместила в соц сетях объявление, что вышлю по требованию редактированную версию. Отправлять каждому не стала, так как покупателей очень много и заявки приходят во всех мессенджерах, а критичных правок нет, где-то лишняя буква, где-то запятая. Если вы купили до 17 ноября и вам важно, чтобы опечаток не было, напишите мне, обязательно отправлю свежий вариант.

7. Электронная или бумажная. Пришла к выводу, что лучше продавать электронную книгу, так как законодательство быстро меняется, а издание книги - дело небыстрое. Да и нужна ли бумажная версия? Может быть потом я об этом подумаю.

8. Посредник или напрямую. Сначала очень хотелось продавать книгу через посредника, но когда я увидела размер роялти (порядка 25% для неисключительных прав), то поняла, что придется сильно задирать цену. А этого мне делать категорически не хотелось. Поэтому понадеялась на себя и свой личный бренд, продаю тем, кто меня знает напрямую. Зато цена всего 200 рублей (для получения такой же выгоды через посредника пришлось бы продавать за 700-800 рублей). А значит книгу могут себе позволить даже студенты.

9. Сбор отзывов. Об этом я напишу вам отдельно. Я получила огромное количество идей для будущих постов, пообщалась с очень интересными людьми. Каждый второй покупатель делится своим опытом в защите ПДн и это очень вдохновляет!

10. Выгодно или нет. В финансовом плане скорее нет, чем да. Но это если посчитать количество времени, которое затрачено на написание книги и доход от ее продажи. С точки зрения вдохновения и радости от того, что твои знания пригодились, что люди голосуют рублем, с точки зрения всех добрых слов, которые мне написал каждый покупатель - это бесценно! За 8,5 лет ведения блога я немного охладела к написанию постов, очень сложно поддерживать на высоком уровне энтузиазм, когда ты работаешь бесплатно. Продажа книги вдохновила меня очень сильно! Я хочу писать и благодаря вашим отзывам знаю, о чем стоит рассказать в первую очередь. 

Резюме. Порекомендовала бы я вам писать книгу? Да, обязательно! Сама работа над книгой помогает упорядочить свои знания, узнать новое, составить шпаргалку для себя же. Ну а с каждым скачиванием или продажей ваша самооценка будет расти, а с ним и вдохновение к дальнейшей работе. Успеха вам в трудах!

Большое спасибо всем, кто купил!

Если желание купить возникло прямо сейчас, вы можете обратиться ко мне в личные сообщения:

Вконтакте: https://vk.com/shudrova

Facebook: https://www.facebook.com/profile.php?id=100001253566519

telegram: @KseniaShudrova

instagram: @boyarinya_marshmelova

Персональные данные. Моя новая книга

Добрый день, дорогие читатели! Вчера вышла моя вторая электронная книга о персональных данных: "Персональные данные: как перестать беспокоиться и начать защищать?" 

20 тем, 115 страниц. 

Содержание:

Введение    3

Немного фактов обо мне        4

Зачем защищать персональные данные?   4

1. Определения    8

2. Оператор и обработчик      15

3. Законодательная база          17

4. Классификация ИСПДн      23

5. Согласие 27

6. Уведомление    31

7. Политика обработки ПДн   33

8. Неавтоматизированная обработка         34

9. Перечень документов         39

10. ИСПДн и ГИС         43

11. Модель угроз 49

12. Требования к оператору   56

13. Криптография          64

14. Лицензия, сертификат, аттестация       70

15. Вред субъекту          78

16. GDPR    80

17. Сроки    96

18. Проверки        99

19.Нарушения      107

20. Cудебная практика  111

Заключение          115

Чтобы приобрести книгу, обратитесь ко мне в личные сообщения:
Вконтакте: https://vk.com/shudrova
Facebook: https://www.facebook.com/profile.php?id=100001253566519
telegram: @KseniaShudrova
instagram: @boyarinya_marshmelova

Угрозы и требования. Теория и практика. Запись вебинара

Добрый вечер, дорогие читатели! Мы с Сергеем Борисовым провели второй межблогерский вебинар. На этот раз темой была связь угроз и требований. Мой доклад был посвящен теории, а доклад Сергея - практике. Сергей сегодня уже писал о вебинаре, а также смонтировал и выложил запись.
Какие моменты вебинара я бы отметила?
1. Новая платформа решила проблемы со звуком практически для всех участников (за редким исключением).
2. Мы не смогли уложиться в заявленный час, так как было очень много вопросов. Это очень радует! Выбрать лучший вопрос было сложно, конечно, победила дружба! Но кружку получит только Мирослав. Мы уже связались с ним и получили адрес для отправки подарка.
3. Проголосовать за новую тему можно здесь.
Желаю приятного и полезного просмотра!

Вступайте в группу ВК: https://vk.com/kshudrova

Документация по защите персональных данных

Добрый день, коллеги! Мне часто задают вопрос - какие документы нужно сделать для того, чтобы защитить персональные данные в организации. 

Начнем с Федерального закона "О персональных данных", какие документы следуют из его положений?

• Порядок восстановления ПДн (пп. 7 п. 2 ст. 19 152-ФЗ). Такой документ часто требуют при проверке, но многие забывают его сделать. Это может быть часть положения о защите персональных данных;

• Журнал учета действий (пп. 8 п. 2 ст. 19 152-ФЗ). Проще всего - электронный, если нужно - распечатаете;

• Заключение об оценке вреда субъекту (пп. 5 п. 1 ст. 18.1 152-ФЗ). Здесь правил нет, делаете как считаете нужным;

• Заключение об оценке эффективности принимаемых мер (пп. 4 п. 2 ст. 19 152-ФЗ). Нужно оценить те меры, которые приняты для защиты персональных данных: закрывают ли они актуальные угрозы;

• Модель доступа к ПДн (пп. 8 п. 2 ст. 19 152-ФЗ). Полезная вещь, особенно если есть разные уровни доступа;

• Модель угроз (пп. 1 п. 2 ст. 19 152-ФЗ). Если вы слушали наш совместный вебинар с Сергеем Борисовым, то знаете, что вопрос о необходимости модели угроз - спорный.;

• Политика обработки персональных данных (пп. 2 п. 1 ст. 18.1 152-ФЗ). Сделайте обязательно;

• Положение об обработке ПДн (пп. 2 п. 1 ст. 18.1 152-ФЗ). Сделайте обязательно;

• Поручение на обработку персональных данных (п. 3, ст. 6 152-ФЗ). Понадобится, если решите передать персональные данные на обработку третьему лицу;

• Порядок контроля за принимаемыми мерами безопасности (пп. 9 п. 2 ст. 19 152-ФЗ). Может быть частью положения о ПДн;

• Порядок ознакомления с нормативной документацией (пп. 6 п. 1 ст. 18.1 152-ФЗ). Сделайте такой порядок и постоянно проводить ознакомление персонала, основной ошибкой является отсутствие листов ознакомления или отсутствие подписей в них;

• Порядок применения правовых, организационных и технических мер по обеспечению безопасности ПДн (пп. 3 п. 1 ст. 18.1 152-ФЗ). Может быть частью положения;

• Порядок реагирования на инциденты (пп. 6 п. 2 ст. 19 152-ФЗ). Может быть частью положения;

• Порядок учета машинных носителей (пп. 5 п. 2 ст. 19 152-ФЗ). Лучше сделать, например, чтобы была возможность реагировать на вынос домой рабочих флешек с базами клиентов;

• Приказ о назначении лица, ответственного за организацию обработки (пп. 1 п. 1 ст. 18.1 152-ФЗ). Нужно сделать;

• Уведомление об обработке персональных данных (ст. 22 152-ФЗ). Скорее всего придется сделать;

• Форма согласия на обработку персональных данных (ст. 9 152-ФЗ). Сделайте разные на все случаи обработки.

Теперь посмотрим Постановление Правительства РФ от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" (с изменениями и дополнениями). Будьте внимательны, оно изменялось. 

Какие документы нужно сделать?

• правила обработки персональных данных. Может быть частью положения;

• правила рассмотрения запросов субъектов персональных данных. Также часть положения;

• правила осуществления внутреннего контроля. Часть положения;

• правила работы с обезличенными данными. Не знаю, стоит ли выделять в отдельный документ;

• перечень информационных систем персональных данных. Стоит сделать;

• перечни персональных данных. Полезный документ, высветит интересные бизнес-процессы;

• перечень должностей лиц, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных. Очень важный документ;

• перечень должностей лиц, замещение которых предусматривает осуществление обработки персональных данных. Стоит сделать;

• должностной регламент ответственного за организацию обработки персональных данных. Сделайте обязательно, чтобы не было путаницы, кто за что отвечает;

• типовое обязательство о неразглашении. Сделайте обязательно;

• типовая форма согласия на обработку персональных данных. Сделайте обязательно;

• порядок доступа в помещения, в которых ведется обработка персональных данных. Сделайте.

Продолжение следует...

Валентина Михайловна Валевская. Осенний натюрморт

Вступайте в группу ВК: https://vk.com/kshudrova

Угрозы и требования. Как их подружить?

Добрый день, коллеги! В августе прошел первый совместный вебинар с Сергеем Борисовым. Запись Вы можете посмотреть здесь. По итогам вебинара Красноярским отделением сообщества RISC была разыграна кружка с логотипом за самый интересный вопрос. Победителем стал Геннадий Аносов. Он свою кружку уже получил и прислал нам подтверждающее фото. 

После вебинара мы выбирали тему нового мероприятия. И выбрали. Лучшей на наш с Сергеем взгляд является "Соответствие угроз безопасности из БДУ мерам обеспечения информационной безопасности приказов ФСТЭК N17 и N21". Мы уже связались с коллегой и также скоро отправим ему кружку. А нас с вами ждет второй вебинар.

Вебинар так и будет называться "Угрозы и требования. Теория и практика". За теорию отвечает Ксения Шудрова:) Я расскажу Вам об угрозах и требованиях в информационной безопасности вообще, о том как связывать их между собой. Мы немного абстрагируемся от конкретных требований, ведь завтра они могут измениться, также как могут появиться и новые угрозы. Рассмотрим общие подходы, которые научат вас связывать любые требования с любыми угрозами. Это будет основа для Вашей дальнейшей работы. Но зачем теория без практики? Правильно, впереди самое интересное! За практику отвечает Сергей Борисов. Он расскажет, как же все-таки связаны угрозы из bdu и требования документов из приказов ФСТЭК 21 и 17. Вы увидите уникальный контент, содержащий очень полезные таблицы соответствия. Как такое можно пропустить?

Платформа пока определяется. Ориентировочная дата - 18 сентября 2019 года. Будет обязательная предварительная регистрация. Мероприятие поддержано Красноярским отделением RISC.

Всех ждем!

Присоединяйтесь к группе ВК, чтобы не пропустить самые свежие новости: https://vk.com/kshudrova

ПДн. Сайт Роскомнадзора. Как ориентироваться?

Добрый день, коллеги! Я часто обращаюсь к официальному сайту Роскомндаздора, но даже спустя десять лет активного серфинга по нему теряюсь во вкладках. Думаю, многим такая проблема знакома. Сетевые пути к полезным ресурсам сайта зачастую весьма причудливы. Значит, пришло время поделиться с вами шпаргалкой.

1. Заходим на сайт rkn.gov.ru, далее - Персональные данные.

Здесь есть некоторые ресурсы в быстром доступе. Например, рекомендации по составлению Политики обработки ПДн. Самый полный перечень находится на странице "Портал персональных данных" https://pd.rkn.gov.ru/

2. "Портал персональных данных". На главной странице читаем новости.

3. Годовые отчеты

4. Разъяснения консультативного совета ищите здесь:

В частности, 21 сентября было опубликовано разъяснение для субъектов.

5. Обратиться в Роскомнадзор можно здесь:

6. Кодекс добросовестных практик:

Сторона, которая присоединяется к Кодексу, предварительно направляет заявление о присоединении к Кодексу, подписанное его уполномоченным представителем, в адрес уполномоченного органа по защите прав субъектов персональных данных.

7. Нормативно-правовые акты можно искать здесь:

8. Проверить состояние уведомления можно здесь:

9. Видео контент здесь:

10. Полезные материалы можно взять здесь:

 11. И здесь:

12. Региональные отделения:

13. На сайт региональных отделений можно найти интересную информацию:

Присоединяйтесь к группе блога ВК: https://vk.com/kshudrova

В блоге появились подборки постов по темам

Добрый день, коллеги! Сегодня на повестке дня две темы:
1. Я навела в блоге относительный порядок. Теперь все, что написано за 8+ лет можно найти отсортированным. Разделы следующие:
1. Мои публикации - названия и где это возможно ссылки на статьи в журналах.
2. Моя диссертация - названия и реквизиты научных статей.
3. Обо мне - личное.
4. Разное - все, что не про ПДн.
5. Защита ПДн - все, что про ПДн.
6. Проверки ПДн - про проверки.
7. Лица ИБ - все интервью.
8. От читателей - приглашенные авторы.

Есть посты, которые в перечни не попали. А что поделать, не все можно отнести к нетленкам)

2. Я настоятельно советую Вам принять участие в опросе на тему будущего вебинара, если Вы еще не сделали этого. Ваше мнение важно для нас!

Присоединяйтесь ВК: https://vk.com/kshudrova - группа очень активная. Здесь мы обсуждаем интересные вопросы и делимся новостями.

Запись прошедшего вебинара и опрос "Какие темы выбрать в следующий раз?"

Добрый день, коллеги! 08 августа при поддержке RISC и УЦСБ прошел мой совместный вебинар с Сергеем Борисовым. Полтора часа мы говорили о персональных данных. Не обошлось без некоторых проблем со звуком, но, к счастью, есть запись. Благодарим самых стойких участников, которые не только досмотрели вебинар до конца, но и задали интересные вопросы. Кружка RISC скоро окажется в руках Геннадия Аносова. Поздравляем! Как и было обещано, она досталась за самый интересный вопрос, у Геннадия таких вопросов было несколько. Но это еще не все! Помните, в "Магазине на диване" обычно так говорят перед появлением дополнительной насадки для суперэкстраизмельчителя. Так вот. Это еще не все! Вы можете выбрать темы следующего вебинара. Для этого необходимо принять участие в опросе. Мы придумали свои темы, но оставили также место для вашего творчества. За самую интересную тему вас ждет подарок. Еще одна кружка RISC! Ну, и самое главное - эта тема обязательно будет освещена на вебинаре. Также напомню, что участие в вебинаре абсолютно бесплатно. 

Вообще, конечно, поражает воображение мир современных технологий. Еще недавно я и представить себе не могла, что буду сидеть на кухне и проводить трансляцию на профессиональные темы. Краснодар и Красноярск - почти 5000 км разделяет эти города, а тут нажал пару кнопочек, и нет этого расстояния. Я уже не говорю о наших участниках из самых разных регионов страны. Количество желающих подключиться превысило технические возможности платформы. Это досадно, но это вдохновляет! Спасибо, коллеги, друзья, за интерес к нашей инициативе! Спасибо, что вас так много! Хочется работать еще больше, улучшать качество мероприятий. Будем стараться! 

Цель проекта - делиться знаниями онлайн. Чтобы каждый специалист из региона мог стать частью профессионального сообщества (эта цель полностью отвечает целям и задачам сообщества RISC. Вступить в него очень просто, нужно просто присоединиться к группе, членство абсолютно бесплатно). 

Лично от себя могу добавить, что жить и работать в любом городе нашей необъятной Родины - это достойно. Я люблю свой край, люблю тайгу, мороз и Сибирь в целом. Мне нравятся другие города России, некоторые удалось увидеть: Санкт-Петербург, Иркутск, Томск, Новосибирск, Сочи, Череповец, Енисейск, Абакан, само собой Москву. Другие пока в планах: Владивосток, Екатеринбург, Хабаровск, Казань, Нижний Новгород, Краснодар, Калининград. Каждый город неповторим и прекрасен! Может быть, это звучит слишком пафосно, но я приложу все свои усилия, чтобы доказать, #в_регионах_есть_иб.

Присоединяйтесь к сообществу ВК: https://vk.com/kshudrova - нас уже больше 1000.

Вебинар про персональные данные с Сергеем Борисовым

Добрый день, коллеги! В четверг 08 августа c 15:00 до 16:00 МСК пройдет наш совместный вебинар с Сергеем Борисовым. Темы, которые мы обсудим:

• варианты моделирования угроз безопасности ПДн;
• меры защита web сайта с ПДн;
• проверки Роскомнадзора по ПДн;
• судебная практика в сфере ПДн.

Ссылка длярегистрации. Регистрация обязательна! Также мы ответим на интересные вопросы участников вебинара. Всех ждем!

Подписывайтесь на группу блога ВК: https://vk.com/kshudrova

Видеозапись мастер-класса Paymentsecurity

Добрый день, коллеги! Делюсь с вами ссылкой на видео мастер-класса по защите персональных данных. Лекция длится целых 2 часа 40 минут, думаю, вы найдете для себя полезные моменты. Я очень старалась при подготовке материала и оставила в лекции только насущные вопросы. Также на сайте Paymentsecurity можно найти видеозаписи других выступлений. Приятного просмотра!

Присоединяйтесь к группе ВКонтакте: здесь мы обсуждаем вопросы, делимся ссылками на свежие новости и статьи.