Сообщения

Сообщения за декабрь, 2012

СЗПДн. Анализ. Обработка фотографий и биометрия

Изображение
14 декабря были опубликованы разъясненияРоскомнадзора по вопросам обработки персональных данных работников и соискателей, подготовленные совместно с экспертами: А.В. Лукацким, Емельянниковым М.Ю., Волковым А.Н., Токаренко А.В. Появление такого документа радует, потому что подобные вопросы возникают у всех операторов ПДн и теперь могут быть решены гораздо быстрее.   Пока ожидаются разъяснения по другим темам, привожу информацию по вопросу обработки фотографий и классификации её как биометрии, которая может быть кому-то полезна. Данная тема боян поднималась регулярно в блогах экспертов (например, эта , эта и эта ). Но, пока эксперты обсуждали, краснодарский РКН в этом году регулярно карал операторов. По моим наблюдениям подобные нарушения были выявлены в половине проверок (примеры тут и тут )     При этом обработку черно-белых ксерокопий паспортов трактовалась краснодарским РКН как обработка биометрических данных, а нарушением являлось отсутствие согласия субъекта

СЗПДн. Анализ. Предложения по совершенствованию состава и содержания организационных и технических мер по ОБ ПДн от ФСТЭК

В соответствии с информационным сообщением ФСТЭК России “о проекте приказа ФСТЭК России «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»” от 07 декабря 2012 г. № 240/22/4947 провел экспертизу проекта приказа ФСТЭК России “Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных”.                                     В соответствии с предыдущим комплектом документов регуляторов (ФСТЭК и ФСБ) нам удавалось реализовывать эффективные проекты по защите ПДн . А именно была возможность учесть базовый набор мер от регуляторов, пожелания заказчика и выбрать только те меры, которые были необходимы для обработки актуальных угроз безопасности ПДн. Новые документы ФСТЭК анализировал в том направлении, насколько они будут помогать или мешать реализации эффективных проектов СЗПДн у операторов а

СОИБ. Проектирование. Усиленная аутентификация на уровне сети (UPD)

Изображение
В своем блоге я уже делал несколько заметок по теме усиленной аутентификации ( например, эта ), и теме защищенного доступа к сети . Сегодня ещё одна заметка в продолжение. Большинство организаций уже осознает проблемы с классическими паролями – с их большим количеством, запоминанием, подбором, потерей и т.п. и пытаются разработать дополнительное решение. Но на пути внедрения усиленной аутентификации могут встать технические ограничения: ·         большинство бизнес-приложений организации может не поддерживать усиленную аутентификацию (об этом я писал в заметке ) ·         в организации могут быть программно или аппаратно отключены USB порты на АРМ пользователей, либо они могут быть опечатаны. А большинство средств усиленной аутентификации (токены, смарт-карты, биометрические сканеры) подключаются по USB ·         в организации может использоваться нестандартная служба каталогов ( Linux и LDAP или Novell eDirectory ) а большинство средств усиленной аутентификации осн