Рубрика «152-фз» - 3

Научно-практический комментарий Роскомнадзора к закону «О персональных данных». Есть ли в нем что-то научное и практическое?

2015-07-23 в 7:04, admin, рубрики: 152-фз, Законодательство и IT-бизнес, персональные данные, Роскомнадзор

Совсем недавно в узконаправленных СМИ появилась новость о том, что Роскомнадзор опубликовал под эгидой Российской газеты чтиво под названием: «Федеральный закон «О персональных данных». Научно-практический комментарий». Для меня по роду деятельности эта брошюра (ну как брошюра, почти 200-страничный талмуд) просто «маст хэв». Несмотря на то что я уже 7 лет занимаюсь защитой персональных данных в организациях, за все это время так и не выстроилось в голове стройной картины «что, как и почему». Я надеялся, что рассматриваемый документ поможет хоть что-то упорядочить. Получилось ли у Роскомнадзора прояснить мутные моменты законодательства о персональных данных, читайте под катом.

Читать полностью »

Не совсем известные решения по защите ИТ-инфраструктуры бизнеса

2015-03-24 в 7:10, admin, рубрики: 152-фз, dlp, dpi, pci dss, анализ кода, Блог компании КРОК, ИБ, информационная безопасность, ит-инфраструктура, ПД, Россия, Сетевые технологии

Не совсем известные решения по защите ИТ-инфраструктуры бизнеса - 1

Классический подход российского бизнеса сегодня — это установка файрволла, затем после первых попыток направленных атак — системы защиты от вторжений. И дальше спать спокойно. На практике это даёт хороший уровень защиты только против скрипткидди, при любой более-менее серьёзной угрозе (например, от конкурентов или атаке от недоброжелателей, либо направленной атаке от иностранной группы промшипонажа) нужно что-то дополнительное, помимо классических средств.

Я уже писал про профиль типовой направленной атаки на российское гражданское предприятие. Теперь расскажу о том, как меняется стратегия защиты в целом в нашей стране в последние годы, в частности, в связи со смещением векторов атак на 0-day и связанные с этим внедрения статических анализаторов кода прямо в IDE.

Плюс пара примеров на сладкое — вы узнаете, что может твориться в полностью изолированной от Интернета сети и на периметре банка. Читать полностью »

О медицинской тайне или кому нужна информационная безопасность?

2014-10-17 в 11:11, admin, рубрики: 152-фз, Веб-разработка, информационная безопасность, медицинская тайна

У нас вследствие разгильдяйства, я сказал бы даже раздолбайства такого, которое превратилось уже в государственную угрозу

«У меня нечего взять, поэтому беспокоиться повода нет» — так думают не только обыватели, но и руководители непрофильного бизнеса. Если человек имеет свой мелкий бизнес и в excel ведет бухгалтерию убедить его заплатить за какую-то «ИБ», которая не приносит прибыли проблематично. Он так и будет надеяться на «авось». Ведь нарушение целостностиконфиденциальностидоступности может и не произойти, тогда зачем платить?
Читать полностью »

Почему оценка соответсвия средств защиты информации и есть сертификация

2013-11-06 в 13:39, admin, рубрики: 152-фз, информационная безопасность, персональные данные, сертификация сзи по тзи, Софт, метки: 152-фз, персональные данные, сертификация сзи по тзи

В предыдущем посте Сертификация средств защиты и персональные данные не хватало конкретики в вопросе сертификации как таковой.
В этот раз изложу не свое виденье вопроса, а выдержки из законов ведущие к тезису, что Сертификация — есть единственная форма оценки соответствия средств защиты требованиям по защите информации.
Статья получилась немного сумбурная, но, надеюсь, понятная.
Читать полностью »

Сертификация средств защиты и персональные данные

2013-11-06 в 7:32, admin, рубрики: 152-фз, информационная безопасность, персональные данные, сертификация сзи по тзи, метки: 152-фз, персональные данные, сертификация сзи по тзи

Сертификация средств защиты информации вызывала, вызывает и будет вызывать огромное количество вопросов у IT-люда. И к сожалению не только у него: сами «законотворцы» и «методикоделы» не всегда толком могут ответить на вопрос о сертификации. Тут можно выделить пожалуй два подвопроса:
1. Что «хотят» контролирующие органы (ФСТЭК, ФСБ, Роскомнадзор) — далее «КО»;
2. А что «хочет» закон и методики.
Частично написано в ответ на Защита информации и сертификация. Если нет разницы — зачем платить больше?, где, считаю, не совсем корректно представлено текущее положение дел… хотя взгляд на него излагаю из личного опыта общения с КО, сертифицирующими органами, клиентами и опытом внедрения систем защиты.
Читать полностью »

Как Сбербанк распространяет ваши личные данные

2013-09-29 в 18:42, admin, рубрики: 152-фз, информационная безопасность, персональные данные, Сбербанк, метки: 152-фз, персональные данные, Сбербанк

Я дал знакомому номер моей карты, чтобы он мог перевести мне деньги.
Знакомый сделал перевод и получил квитанцию.
В его квитанции оказались указаны мои паспортные данные (см. скан квитанции под катом).

Я сообщил о проблеме на странице www.facebook.com/sberbank, получил рекомендацию написать на адрес zabota@sberbank.ru

17 сентября я отправил на этот адрес описание истории и вопрос:

«Сообщите пожалуйста, почему и как в квитанции оказались мои паспортные данные и, таким образом, произошла передача моих персональных данных третьему лицу?»

Прошло почти 2 недели, никакого ответа я так и не получил, поэтому начинаю размещение открытых сообщений.

Я считаю, что важно, чтобы максимальное количество клиентов Сбера узнало о том, как банк относится к их личным данным.
Читать полностью »

Способ выполнить требования 152-ФЗ №1: Системный интегратор

2012-06-28 в 10:12, admin, рубрики: 152-фз, Анализ и проектирование систем, защита персональных данных, информационная безопасность, персональные данные, метки: 152-фз, защита персональных данных, персональные данные

Способ выполнить требования 152 ФЗ №1: Системный интегратор

Многие не знают, что есть несколько способов выполнить требования закона №152-ФЗ «О персональных данных». Все они различаются порой кардинальным образом: стоимостью, сложностью и временем реализации.

Один из специалистов нашей команды Б-152 решил поведать вам о первом способе: обращении к системному интегратору и работе с ним.
Читать полностью »

Мифы о защите персональных данных в облаке

2012-05-23 в 11:19, admin, рубрики: 152-фз, Блог компании КРОК, виртуализация, гипервизор, защита персональных данных, информационная безопасность, облако, сертификация, метки: 152-фз, виртуализация, гипервизор, защита персональных данных, облако, сертификация

Мифы о защите персональных данных в облаке
В последнее время часто поднимаются вопросы о возможности обработки и защиты персональных данных в «облаках» в соответствии с ФЗ №152 «О персональных данных». Всё это зачастую напоминает обсуждение мифов, поэтому рискну изложить свой взгляд на проблему защиты ИСПДн в облаках и попробую ответить на основные вопросы.

Примерный список вопросов таков:

Можно ли, в принципе, размещать информационные системы персональных данных (ИСПДн) в «облаке» с учетом требований регулирующих органов по защите информации?
Какими свойствами должно обладать «облако», чтобы его можно было использовать для построения информационных систем персональных данных (ИСПДн)?
Что необходимо учесть оператору ПДн, решившему перенести свои информационные ресурсы в «облако»?
Возможно ли аттестовать ИСПДн, размещенную в публичном «облаке»?
Какие задачи по обеспечению ИБ возлагаются на облачного провайдера?
Какие существуют гарантии того, что конкурент, размещенный в том же «облаке» по соседству, надежно отделен и не сможет атаковать, находясь внутри «облака»?
От чего зависит ИСПДн какого класса можно построить в конкретном «облаке»?