Сообщения

Сообщения за январь, 2020

Публичный семинар Роскомнадзора по персональным данным и планы рабочей группы ЮФО

Изображение
Вчера 28 января 2020 состоялся публичный семинар Роскомнадзора по итогам их работы за 2019 г. по теме персональных данных. ·         Выложена запись основной части семинара.   На самом деле там было мало нового. Примерно те же типовые нарушения, примерно те же причины обращений, немного меняется статистика. Но из интересного, например было про деятельность центра компетенций и рабочих групп Роскомнадзора в общем и ЦФО+СЗФО в частности ·         Больший интерес представляет секция вопросов и ответов от РКН. По многим темам позиция РКН меняется, в том числе и в следствии судебной практики. Рекомендую ознакомится, много интересных вопросов. Ответы, конечно, не всегда дают ту информацию, которая была нужна оператору – уворачиваться РКН умеет и многое остается на ответственность самого оператора. Также 24 января 2020 года принял участие в заседании рабочей группы РКН по ЮФО (той самой которая разработает методические документы) – утверждали план нашей деятельности на год. Ниже

Обзор документа NIST Privacy Framework

Изображение
16 января NIST опубликовал итоговую версию документа 1.0 Privacy Framework . Указанный документ представляется как добровольный инструмент (лучшая практика) которая поможет вам выполнять законодательство в области защиты персональных данных. Давайте посмотрим на самые интересные моменты данного документа, которые могут быть полезны при выполнении российского законодательства в области защиты ПДн либо европейского GDPR. 1.       Документ не является обязательным. Это скорее методический документ. В нем есть полезные вещи, которые можно использовать. Но одного этого документа недостаточно для того, чтобы взять и построить безопасные процессы обработки ПДн – нужно использовать ещё какие-то методики для анализа рисков, а потом придумывать, какие меры необходимо выбрать для нейтрализации конкретных рисков. Поэтому не корректно будет называть его готовым инструментом ( tool ). Но основой ( framework ) для дальнейшей работы он называется заслуженно.   2.       Разъяснение актуал

Конец Windows 7 и Windows Server 2008 ?!

Изображение
Сегодня 14 января 2020 года закончился срок технической поддержки на Windows 7 и Windows Server 2008 . Что это означает по мнению Microsoft ? Что это означает для российских ИБ: ·         ОС Windows 7 и 2008 уже нельзя применять в любом качестве на  значимых объектах КИИ ·         Указанные ОС нельзя использовать в качестве мер защиты в Банках (а как правило они используются) ·         ОС Windows 7 и 2008 нельзя использовать в качестве сертифицированных средств защиты (даже если срок сертификат ФСТЭК ещё не истек, теперь должен быть прекращен) Приказ ФСТЭК №239 : “31. Применяемые в значимом объекте программные и программно-аппаратные средства , в том числе средства защиты информации, должны быть обеспечены гарантийной и (или) технической поддержкой .” ГОСТ Р 57580.1-2017 : “РЗИ.10 Обеспечение возможности сопровождения технических мер защиты информации в течение всего срока их использования ЖЦ.18 Обеспечение возможности сопровождения те

Видео новогоднего вебинара с ответами на вопросы по ПДн и ИБ

Изображение
Всех поздравляю с наступившим новым 2020 годом. Всем желаю критических систем без инцидентов, инцидентов без вреда, вреда без сроков. Читателей этого блога благодарю за ваше внимание и поддержку – без него, все это было бы бесполезным. Также хочу поделится с вами записью предновогоднего вебинара, который мы провели с Ксенией Шудровой 25 декабря, посвященного ответам на ваши практические вопросы из жизни ИБ. Вопросы собирались заранее, но была возможность задать и дополнительные по ходу вебинара. Если кратко, то мы обсуждали следующие вопросы : ·         про ответственного за организацию обработки ·         про согласие ПДн ·         про ПДн биометрию ·         про ПДн спецкатегории ·         про обезличивание ПДн ·         про обработку ПДн в группе компаний ·         про обработку ПДн в ЦОДах ·         про состав ПДн ·         про политику и положение ·         про неавтоматизированную обработку ПДн ·         про архивы ·         про уязвимости из БДУ