Если Вам понравился блог, вы можете подписаться на RSS ленту. Благодарю за визит!
 В самом начале войны во Вьетнаме, американская армия несла большие потери в авиации. Чтобы изменить ситуацию, была создана специальная группа «Пурпурный Дракон» (ох и название…), их целью стало выяснение причин провала первых операций. В результате короткого исследования группа выяснила, что противник предвидел действия американской армии просто за счет понимания армейских процедур и алгоритма принятия решений, т.к. формализм в американской армии в то время процветал.
Созданная группа продолжила свою работу и в последующие 20 лет. В 1988 году президент Рейган расширил полномочия группы и создал полноценное ведомство IOSS, в задачи которого стала входить консультационная и методическая помощь сотрудников по национальной безопасности. IOSS проводило специальные тренинги среди сотрудников, оказывало помощь в разработке специальных проектов, а также проводило конференции по теме обороны, безопасности и разведки.
Эта структура продолжает работу и сегодня.
Помимо «секретных» работ, IOSS проводит еще и «открытые». Вот одна из таких работ меня и заинтересовала. Называется она Safety Checklist, или «Контрольный список по безопасности».
Поскольку бороться с любовью американских чиновников к социальным сетям невозможно, нужно хотя бы дать несколько простых рекомендации, которые позволят избежать утечки информации.
Документ содержит рекомендации для американских чиновников, которые работают с документами грифа ДСП и выше. Главный лозунг документа Think before you post! (Думай, прежде чем публиковать!). Чеклист содержит следующие вопросы:
- Не храните ли вы чувствительные связанные с работой данные в своем профиле?
- Не сообщаете ли вы о своих планах или будущем местоположении?
- Не раскрываете ли вы имена своих коллег, сотрудников или членов семьи?
- Сказали ли вы своим друзьям, чтобы они с осторожностью публиковали фотографии с вашим изображением?
- Проверяете ли вы при публикации фотографий фон, на предмет информативных деталей (шкаф с документами, где видна маркировка папок, бумаги на столе, экран компьютера), нельзя ли увидеть что-то в отражающих поверхностях?
- Проверяете ли вы название файлов и тэги на наличие чувствительной информации (название организации, имена и т.д.)?
И все в таком духе…
Конечно, мелочь. Конечно, этого недостаточно. Но рекомендации есть и они понятны даже ребенку.
6821 . 2437
Другие записи
Автор: Царев Евгений
| Метки: Privacy, безопасность персональных данных, Информационная безопасность, Коллеги, конфиденциальная информация, персональные данные работника
Довольно странным мне показалось заявление о намерении Роскомнадзора «завершить формирование Реестра операторов, осуществляющих обработку персональных данных» уже в 2010 году. То, что механизм по привлечению к административной ответственности операторов, не представивших уведомление об обработке персональных данных работает хорошо сомнений нет, но каким образом будет завершен сбор уведомлений непонятно. Сейчас в реестре зарегистрировано 85 000 операторов, всего операторов реально обрабатывающих ПДн несколько миллионов. Даже если предположить, что Роскомнадзор приложит очень большие усилия по сбору уведомлений, то собрать уведомления даже с подавляющего числа операторов все равно не получится. Так что, не знаю, как понимать такие заявления.
По всей видимости, под этими словами подразумевалось что-то другое.
15191 . 7285
Другие записи
Автор: Царев Евгений
| Метки: закон о персональных данных, Законодательство, защита персональных данных, Новость, персональные данные работника, положение о персональных данных, Права граждан, Роскомнадзор, система персональных данных
 Сегодня коллега прислал занятную ссылку. Суть в следующем, предлагается некий продукт «7 шагов», который позволяет решить проблемы защиты информационной системы персональных данных (ИСПДн) второго и третьего класса. Всего за 26000-29000 рублей, счастливый покупатель получит:
«
- полный комплект организационно-распорядительных документов организации для защиты персональных данных;
- технические средства защиты: антивирус, межсетевой экран, система защиты от несанкционированного доступа;
- инструкция пользователя», в которой подробно описаны 7 шагов (действий, работ) по построению системы защиты и аттестации ИСПДн требованиям безопасности информации.
»
а так же бесплатное сопровождение:
«
- консультации специалистов по защите информации (до покупки, в процессе внедрения, после внедрения);
- подготовка полного пакета документов;
- инсталляция программного обеспечения (антивирусной системы, системы защиты информации от несанкционированного доступа, межсетевого экрана);
- аттестационные испытания ИСПДн с выдачей Аттестата соответствия требованиям безопасности информации.
»
Концепция, просто, фантастика!
Обращу внимание, что продукт рассчитан на компании малого и среднего бизнеса у которых персональные данные обрабатываются только на одном компьютере с Windows. Вы когда-нибудь видели предприятия среднего бизнеса, в которых персональные данные обрабатываются на 1 компьютере ?  Но.. это мелочи.
Говоря честно, такой подход мне кажется неким “перегибом”, хотя.. бизнес есть бизнес, если продается, то почему нет? Главное не утверждать, что такой продукт “позволяет решить проблемы защиты информационной системы персональных данных”.
11559 . 5116
Другие записи
Автор: Царев Евгений
| Метки: безопасность персональных данных, Законодательство, защита персональных данных, Интеграторы, ИСПДн, Классификация ИСПДн, Консультация, Новость, обработка персональных данных, персональные данные работника, система персональных данных, Требования
 Более вдумчиво прочитал Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости. Теперь для меня стала очевидной недооценка этих документов.
Все материалы есть на сайте Минздравсоцразвития в открытом доступе. Чтобы оценить качество и содержание, необходимо, конечно, потратить довольно много времени, но вот всеобъемлемость можно оценить беглым взглядом по содержанию. Предлагаю вниманию существенные разделы содержания документов.
Методические рекомендации по составлению Частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждений здравоохранения, социальной сферы, труда и занятости
1 Общие положения
2 Методология формирования модели угроз
3 Описание ИСПДн
3.1 Определение условий создания и использования персональных данных
3.2 Описание форм представления персональных данных
3.3 Описание структуры ИСПДн
3.4 Определение характеристик безопасности
4 Пользователи ИСПДн
5 Типы ИСПДн
5.1 Характеристики ИСПДн
5.2 Типизация ИСПДн
6 Уровень исходной защищенности
7 Вероятность реализации угроз безопасности
7.1 Классификация угроз безопасности
7.2 Классификация нарушителей
7.3 Классификация уязвимостей ИСПДн
7.4 Перечень возможных УБПДн
7.5 Определение вероятности реализации УБПДн
8 Реализуемость угроз
9 Оценка опасности угроз
10 Определение актуальности угроз в ИСПДн
Приложение 1 Обобщенная модель угроз для Автономной ИС I типа
Приложение 2 Обобщенная модель угроз для Автономной ИС II типа
Приложение 3 Обобщенная модель угроз для Автономной ИС III типа
Приложение 4 Обобщенная модель угроз для Автономной ИС IV типа
Приложение 5 Обобщенная модель угроз для Автономной ИС V типа
Приложение 6 Обобщенная модель угроз для Автономной ИС VI типа
Приложение 7 Обобщенная модель угроз для ЛИС I типа
Приложение 8 Обобщенная модель угроз для ЛИС II типа
Приложение 9 Обобщенная модель угроз для Распределенной ИС I типа
Приложение 10 Обобщенная модель угроз для Распределенной ИС II типа
Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости
1 Основные обязанности учреждений здравоохранения, эксплуатирующих ИСПДн
2 Основные мероприятия по приведению ИСПДн Учреждений в соответствие с ФЗ-152 «О персональных данных»
3 Рекомендации по инвентаризации и категорированию персональных данных, обрабатываемых в ИСПДн Учреждений
4 Рекомендации по классификации ИСПДн Учреждений, выбору модели угроз и нарушителя
5 Рекомендации по выполнению организационных мероприятий по обеспечению безопасности персональных данных, обрабатываемых в ИСПДн Учреждений
5.1 Рекомендации по разработке Положения о защите персональных данных
5.2 Рекомендации по разработке Положения о подразделении по защите информации
5.3 Рекомендации по разработке Приказ о назначении ответственных лиц за обработку ПДн
5.4 Рекомендации по разработке Концепции информационной безопасности
5.5 Рекомендации по разработке Политики информационной безопасности
5.6 Рекомендации по разработке Перечня персональных данных, подлежащих защите
5.7 Рекомендации по разработке Приказа о проведении внутренней проверки
5.8 Рекомендации по разработке Отчета о результатах проведения внутренней проверки
5.9 Рекомендации по разработке Акта классификации информационной системы персональных данных
5.10 Рекомендации по разработке Положения о разграничении прав доступа к обрабатываемым персональным данным
5.11 Рекомендации по разработке Модели угроз безопасности персональных данных
5.12 Рекомендации по разработке Плана мероприятий по обеспечению защиты ПДн
5.13 Рекомендации по разработке Порядка резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ
5.14 Рекомендации по разработке Плана внутренних проверок
5.15 Рекомендации по разработке Журнала по учету мероприятий по контролю состояния защиты ПДн
5.16 Рекомендации по разработке Журнала учета обращений субъектов ПДн о выполнении их законных прав 63
5.17 Рекомендации по разработке Инструкции администратора ИСПДн
5.18 Рекомендации по разработке Инструкции пользователя ИСПДн
5.19 Рекомендации по разработке Инструкции администратора безопасности ИСПДн
5.20 Рекомендации по разработке Инструкции пользователя по обеспечению безопасности обработки персональных данных при возникновении внештатных ситуаций
5.21 Рекомендации по разработке Перечня по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним
5.22 Рекомендации по разработке Технического задания на разработку системы обеспечения безопасности информации объекта вычислительной техники учреждения
5.23 Рекомендации по разработке Эскизного проекта на создание системы обеспечения безопасности информации объекта
5.24 Рекомендации по разработке Положения об Электронном журнале обращений пользователей информационной системы к ПДн
5.25 Рекомендации по разработке уведомления в территориальный орган Россвязькомнадзора
6 Рекомендации по выполнению технических мероприятий по обеспечению безопасности персональных данных, обрабатываемых в ИСПДн Учреждений
6.1 Обязательные технические мероприятия
6.2 Технические мероприятия, выполняемые, при выделении дополнительного финансирования
7 Рекомендации по применению программно-аппаратных средств защиты персональных данных в ИСПДн Учреждений
7.1 Рекомендации по применению программно- аппаратных средств для подсистемы управления доступом
7.2 Рекомендации по применению программно- аппаратных средств для подсистемы защиты от программно математических воздействий (ПМВ)
7.3 Рекомендации по применению программно- аппаратных средств для подсистемы регистрации и учета
7.4 Рекомендации по применению программно- аппаратных средств для подсистемы обеспечения целостности
7.5 Рекомендации по применению программно- аппаратных средств для подсистемы контроля отсутствия недекларированных возможностей (НДВ)
7.6 Рекомендации по применению программно- аппаратных средств для подсистемы антивирусной защиты
7.7 Рекомендации по применению программно- аппаратных средств для подсистемы обеспечения безопасного межсетевого взаимодействия ИСПДн
7.8 Рекомендации по применению программно- аппаратных средств для подсистемы анализа защищенности
7.9 Рекомендации по применению программно- аппаратных средств для подсистемы обнаружения вторжений
8 Рекомендации по проведению аттестационных испытаний и по декларированию соответствия для ИСПДн Учреждений
Ну и пакет с приложениями:
- Положение о защите персональных данных в информационных системах персональных данных (проект приказа)
- Положение о подразделении по защите персональных данных в информационных системах персональных данных (проект приказа)
- Приказ о назначении ответственных за обработку персональных данных в информационных системах персональных данных (проект приказа)
- Концепция информационной безопасности информационных систем персональных данных
- Политика информационной безопасности информационных систем персональных данных
- Перечень персональных данных, подлежащих защите в информационных системах персональных данных
- Приказ о проведении внутренней проверки информационных систем персональных данных (проект приказа)
- Отчет о результатах проведения внутренней проверки обеспечения защиты персональных данных в информационных системах персональных данных
- Акт классификации информационной системы персональных данных
- Положение о разграничении прав доступа к обрабатываемым персональным данным в информационных системах персональных данных
- Модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных
- План мероприятий по обеспечению защиты персональных данных в информационных системах персональных данных
- Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации в информационных системах персональных данных
- План внутренних проверок режима защиты персональных данных в ИСПД
- Журнал по учету мероприятий по контролю обеспечения защиты персональных данных в ИСПД
- Журнал учета обращений субъектов персональных данных о выполнении их законных прав, при обработке персональных данных в ИСПД
- Инструкция администратора ИСПД
- Инструкция пользователя информационной системы персональных данных
- Частная инструкция по обеспечению безопасности информации на объекте вычислительной техники
- Инструкция администратора безопасности при использовании ресурсов объекта вычислительной техники
- Частная инструкция по обеспечению безопасности информации на объекте вычислительной техники
- Перечень по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним
- Типовое Техническое задание на разработку системы обеспечения безопасности информации объекта вычислительной техники
- Типовой Эскизный проект на создание системы обеспечения безопасности информации объекта вычислительной техники
- Положение об Электронном журнале обращений пользователей информационных систем персональных данных (проект приказа)
- Уведомление об обработке персональных данных
- Рекомендации по заполнению Уведомления об обработке
Вывод
В заключение этого длинного поста, хочется напомнить, что цель методических документов ФСТЭК заключалась в разъяснении как нужно защищать персональные данные. На этом фоне Методические рекомендации Минздрава можно классифицировать как «разъяснения на разъяснения ФСТЭК». После прочтения этих документов должно стать понятнее, что же написано в документах ФСТЭК России.
22213 . 10561
Другие записи
Автор: Царев Евгений
| Метки: безопасность персональных данных, закон о персональных данных, защита персональных данных, Классификация ИСПДн, Новость, обработка персональных данных, персональные данные в медицине, персональные данные работника, положение о персональных данных, угрозы безопасности, ФСТЭК
 Операторы в желании нивелировать риски, связанные с законом ФЗ-152, идут на самые «последние» меры – начинают включать в договора пункты прямо противоречащие многострадальному 152-ФЗ, об одном из таких примеров я уже писал.
И вот за 2 дня пришло несколько писем с почти одинаковым содержанием:
«Операторы ограничивают наши права, раз заставляют подписывать такие договоры».
По моему мнению, некоторые права субъектов действительно необходимо ограничить, но уж точно не в рамках договора.
Ну-а раз вопросы поступили от субъектов, то и отвечу им.
С практической точки зрения, претензия обоснована, ведь альтернативы зачастую не бывает, кто-то получает зарплатную карту в конкретном банке, кто-то оформляет уже не первый год КАСКО в страховой компании и требовать от таких операторов изменить договор специально под вас, неразумно. Приходится подписывать в том виде, в котором предлагается. В последствии, если вы решите реализовать свое законное право, от которого отказывались в договоре, оператор не позволит вам его реализовать, опираясь на договор. Единственный выход – это пойти в суд. А суд, как говорится, это не место для хорошего человека .
С юридической точки зрения, ситуация выглядит иначе и значительно проще:
В России прославляется свобода договора (ст.421 ГК РФ), и граждане и компании свободны вставлять в договор все, что хотят, вплоть до того, что могут называть себя в рамках договора князьями, императорами, султанами и т.д.
НО!
Есть такое понятие как юридическая значимость, и юридически значимым может быть только договор соответствующий закону (ст.422 ГК РФ). В нашем конкретном случае, такой договор мажет быть даже признан немеющим юридической силы (если судья не захочет с этим возиться), а все потому, что он содержит пункты не соответствующие федеральному законодательству.
В результате, если вам дают договор, прямо противоречащий закону о персональных данных, то де-юре ваши права никто не ограничивает, ну а де-факто проблемы в реализации ваших прав могут возникнуть.
11610 . 5122
Другие записи
Автор: Царев Евгений
| Метки: Банки, безопасность персональных данных, Заблуждения, закон о персональных данных, Законодательство, защита персональных данных, Коллеги, Консультация, Новость, обработка персональных данных, Опыт работ, персональные данные работника, ПП 781, Права граждан, Требования
|
|
|
Последние комментарии