Сообщения

Сообщения за 2019

КИИ. Методические рекомендации от АРСИБ по КИИ

Изображение
Недавно АРСИБ обновили свой документ “ Общие рекомендации по безопасности объектов критической информационной инфраструктуры организации ” – теперь версия 2.0 и соответствие свежим правкам в законодательстве Последний год на конференциях, вебинарах, блогах, соцсетях, телеграм-каналах задаются в общем то одни и те же вопросы из области КИИ: а мы субъект КИИ? а это объекты КИИ? а что писать? а куда отправлять? … В отличие от ассоциации электросвязи , рабочая группа АРСИБ не сделала за вас вашей работы, но они постарались ответить все вопросы, которые вы только планируете задать. Поэтом предлагаю для начала ознакомится с этим методическим документом. Возможно, этого вам будет достаточно.   “В главах данного пособия, авторы, специалисты практики в сфере информационной безопасности, концентрируются на рассмотрении проблемных вопросов, касающихся практического применения Закона «О безопасности КИИ».” Тут обращу внимание на некоторые моменты, которые мне особенно понравилис

Кого назначить ответственным за обработку ПДн?

Изображение
В рамках рабочей группы Роскомнадзора по ПДн выявилась следующая проблема – в законодательстве отсутствует указание, кого назначить лицом, ответственным за организацию обработки персональных данных, какие у него должны быть функции и квалификация. Эти вопросы интересуют всех операторов и в видео ниже я постарался на них ответить:   Нажмите чтобы увидеть требования НПА 152-ФЗ: Статья 18.1 1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться:

Что могут выдать ваши Отзывы?

Изображение
Вроде бы хорошая идея - оставлять публичные отзывы о товарах, услугах, организациях, чтобы всем сообществом выявить лучших и предостеречь от некачественного. Наиболее продвинутые платформы для Отзывов дают пользователям ачивки, рейтинги и лайки, чтобы стимулировать пользователей. Есть пользователи с сотнями и тысячами отзывов. Также платформы стараются собирать Отзывы через короткий промежуток времени, после того как вы побывали в Организации или перешли на сайт -> таким образом у многих пользователей Отзывы формируют историю во времени. Зачастую отзывы могут сообщать о пользователях такую информацию, которую они не рассказывают в своих соцсетях. Давайте на примере платформы Яндекса возьмем пару неизвестных человек и посмотрим, какую информацию о них увидеть? Например, исследователю или детективу интересны люди оставившие хвалебные отзывы к целевой организации (возможно это сотрудники или контрагенты). Пусть это Минкомсвязи и Минпромторг. Находим ц

Теперь можно отправить документы по ПДн на предварительную проверку Роскомнадзору

Изображение
Как вы могли заменить из предыдущей статьи Центр Компетенций Роскомнадзора создал рабочие группы для методической помощи операторам ПДн. В этой заметке я хочу рассказать вам про вторую важную задачу этих групп. Перед внедрением сложных СЗИ широко практикуются так называемые Пилотные проекты / тестовые зоны / опытная эксплуатация, в рамках которых проверяется работоспособность технического решения и его соответствие требованиям и только потом решение распространяется на всю организацию и вводится в действие. Для организационных мер ничего подобного не применяется: разрабатываем регламенты, по которым будут функционировать процессы обработки и защиты ПДн и сразу утверждаем, и внедряем их в организации. Потом оказывается, что процессы не соответствуют требованиям законодательства РФ и все нужно переделывать, менять устоявшиеся правила и переобучать персонал.   Теперь в тестовом режиме Роскомнадзор вводит услугу по предварительной проверке пакета документов по ПДн, на с