Сообщения

Сообщения за август, 2011

СЗПДн. Анализ. Новое в 152-ФЗ 2.0

На просторах сети Интернет коллеги активно проводят анализ определенных статей ФЗ-152 2.0. У меня так-же стояла задача провести постатейный анализ изменений в ФЗ-152, поэтому интересно было выбрать публикации, в которых указывалось конкретные пункты, части и статьи закона, а так-же проводился их анализ. Подобралась следующая таблица, которую я в дальнейшем планирую пополнять: Автор заметки Анализируемые статьи Основная цель заметки Михаил Емельянников http://emeliyannikov.blogspot.com/2011/08/blog-post_03.html ч.3 ст.6 ч.5 ст.6 ч.2 ст.18 ЛООПДППО Михаил Емельянников http://emeliyannikov.blogspot.com/2011/08/blog-post_08.html ст. 5 ст. 6 ст. 9 ст. 14 ст. 17 ст. 24 Права субъектов ПДн Михаил Емельянников http://emeliyannikov.blogspot.com/2011/08/blog-post_22.html ст. 3 ст. 18 ст. 18.1 ст. 21.1 ст. 22 Термины и определения Алексей Волков http :// anvo

СЗПДн. Анализ. iPad, iPhone и обработка ПДн

Рассмотрим задачу, когда Компании необходимо обрабатывать (просматривать) на устройствах типа iPad персональные данные. Пусть это будут не критичный набор персональных данных, но и не обезличенный. Следовательно, необходимо обеспечить безопасность обработки ПДн на iPad . Особенности такой обработки, которые повлияют на оценку угроз: · Обработка ПДн ведется чаще всего в виде просмотра через web -браузер. · Хранение ПДн на устройстве не производится. · Объем обрабатываемых на устройстве ПДн минимальный. · Устройство чаще всего находится за пределами контролируемой зоны. · В виду нетрадиционности и новизны ОС iOS , вероятность заражения вирусами небольшая, но в виду набора популярности iOS вероятность ненулевая – определим как «низкая». Если немного упрощенно, то для данных условий получаем следующую модель угроз: Наименование угрозы Вероятность Потенциальный ущерб от угрозы Актуальность угрозы Требова

СОИБ. Анализ. Сертификация Интернет-магазинов

Как сообщает ИТАР-ТАСС , на встрече Национальной ассоциации дистанционной торговли на встрече с Роскомнадзором было решено создать экспертный технический совет, которому предстоит: · выработать и довести до участников рынка Интернет-торговли первоочередные технические меры, позволяющие не допустить утечку персональных данных; · разработать систему добровольной сертификации безопасности Интернет-магазинов. Собственно подобные идеи приходили мне уже давно, но останавливались в звязи со сложностью создания и регистрации в ФСТЭК системы добровольной сертификации. Деятельность Интернет-магазинов должна соответствовать следующим требованиям в области ИБ: · требованиям ФЗ-152 «О персональных данных» и его подзаконным актам; · требованиям международного стандарта PCI DSS. При необходимости определения детальных мер защиты Интернет-магазин может руководствоваться следующими методиками международных специализированных на web организаций: · OW