Сообщения

Сообщения за февраль, 2021

Лучшие практики обезличивания персональных данных

Изображение
Вчера совместно с Ксенией Лебедевой (Шудровой) провели вебинар в новом для нас мини формате. Если предыдущие межблогерские вебинары стремились по времени к 3 часам, то этот удалось уместить в 1 час. Сделали обзор законодательства и судебной практики РФ по обезличиванию ПДн. В большинстве случаев обезличивание ПДн остается добровольным мероприятием оператора ПДн. Но постепенно появляется все больше случаев, когда обезличивание является обязанностью: 152-ФЗ •         Альтернатива удалению при достижении целей обработки ПДн •         При обработке в статистических или иных исследовательских целях •         В целях повышения эффективности гос. и муниципального управления •         В целях эксперимента по ИИ в Москве 123-ФЗ •         В целях эксперимента по ИИ в Москве 44-ФЗ •         Решения врачебной комиссии при закупке лекарственных препаратов 192-ФЗ •         Обезличивание фискальных данных 78-ФЗ •         Обезличивание результатов жалоб Уполномоченному при

Новые методические документы ФСТЭК России

Изображение
 Вчера на сайте ФСТЭК России были опубликованы 2 методических документа: ·         Рекомендации по оценке показателей критериевэкономической значимости объектов критической информационной инфраструктурыРоссийской Федерации ·         Методика моделирования угроз безопасностиинформации Обзор первого методического документа я сделал в формате короткометражного видео. Рекомендую ознакомится: https://youtu.be/CTRp5GF4uRQ Обзор проекта методики моделирования угроз я делал ранее , но как я не старался сделать это в максимально обобщенном виде, всё равно изменения итоговой методики получились значительные – значит обзор надо будет переделывать. Но этот подробный разбор будет чуть позже. А пока отмечу что: ·         поменялся рекомендованный порядок этапов моделирования: ·         теперь в методике отсутствуют формулы, но таблиц стало побольше ·         самое сложное – определение сценариев угроз всё равно, по сути, остае

Обсуждение изменений законодательства о персональных данных на недавних мероприятиях

Изображение
 На несколько недель после публикации изменений в 152-ФЗ внесенных 519-ФЗ экспертное сообщество замерло, не было видно аналитики, публикаций экспертов… Наконец 28 января 2021 сезон комментариев открыл Роскомнадзор на своем дне открытых дверей. Отдельно прокомментировали изменения законодательства.   А также ответили на некоторые вопросы от сообщества, в том числе про распространение ПДн   Делаю основной вывод : ·         всем операторам надо определится: o    используют ли они персональные данные из публичных источников? o    публикуют ли они данные пользователей? o    предоставляют ли пользователям самим публиковать данные о себе? ·         все соцсети, форумы, менеджеры, маркеты, отзовики, доски почета – видимо да ·         если да, то придется получать отдельное согласие от субъекта ·         получать напрямую, либо через систему РКН ·         текущие требования к содержимому согласия опубликованы ·         разработать порядок действий в случае отзыва сог

Итоги 3-х лет и перспективы безопасности КИИ по 187-ФЗ

Изображение
В прошлый четверг провел с Валерием Комаровым и Ксенией Лебедевой (Шудровой) одноименный вебинар, на котором с коллегами подводили итоги, обсуждали проблемные места и возможные варианты действий. Ниже ссылка на запись вебинара: https://youtu.be/a_IjTrAzfeI Также в этой заметке хочу поделится итогами голосования, которое проводилось среди участников вебинара и других подписчиков. 1.Первая группа вопросов касалась проработанности законодательства в сфере КИИ на разных уровнях.  (в распределении справа (голубой и фиолетовый цвет) находятся слушатели положительно оценившие НПА, а слева (синий и красный) отрицательно оценившие НПА) 2. И интегральная оценка. Как видно, выше всего оценивают документы ФСТЭК. Ниже всего оценивают проработанность ФЗ о правонарушениях (УК РФ и КоАП РФ) 3. Далее я спрашивал, как оценивают знания НПА ответственными лицами и практическое применение их на практике. Как видно примерно треть работников хорошо знают и применяют НПА. Около трети ответственных л