Блог Сергея Борисова про ИБ

  Недавно задавал два простых вопрос в Роскомнадзор по поводу трактовки выполнения законодательства в сфере обработки персональных данных, привожу ниже вопросы, ответы и мои комментарии. 1ый вопрос не дословно, но примерно звучал следующим образом: ·         В организации есть большое количество работников-водителей устроенных по ГПХ, постоянная текучка. Можно ли их рассматривать как работников (вести учет перечень лиц, ознакамливать с внутренними регламентами и т.п. )? или относится к ним как третьим лицам (заключать с ними договор поручение, а со всех субъектов брать согласие на передачу этим третьим лицам)? Ответ привожу ниже: Ответ вполне ожидаемый. Отмечу только что надо не забывать поддерживать в актуальном состоянии перечень таких третьих лиц. Он будет постоянно меняться, поэтому вероятно нужная автоматизация и автообновление на каком-то портале.   2ой вопрос не дословно, но примерно звучал следующим образом: ·   ...

Вчера 28 января 2020 состоялся публичный семинар Роскомнадзора по итогам их работы за 2019 г. по теме персональных данных. ·         Выложена запись основной части семинара.   На самом деле там было мало нового. Примерно те же типовые нарушения, примерно те же причины обращений, немного меняется статистика. Но из интересного, например было про деятельность центра компетенций и рабочих групп Роскомнадзора в общем и ЦФО+СЗФО в частности ·         Больший интерес представляет секция вопросов и ответов от РКН. По многим темам позиция РКН меняется, в том числе и в следствии судебной практики. Рекомендую ознакомится, много интересных вопросов. Ответы, конечно, не всегда дают ту информацию, которая была нужна оператору – уворачиваться РКН умеет и многое остается на ответственность самого оператора. Также 24 января 2020 года принял участие в заседании рабочей группы РКН по ЮФО (той самой которая разработает ...

Всех поздравляю с наступившим новым 2020 годом. Всем желаю критических систем без инцидентов, инцидентов без вреда, вреда без сроков. Читателей этого блога благодарю за ваше внимание и поддержку – без него, все это было бы бесполезным. Также хочу поделится с вами записью предновогоднего вебинара, который мы провели с Ксенией Шудровой 25 декабря, посвященного ответам на ваши практические вопросы из жизни ИБ. Вопросы собирались заранее, но была возможность задать и дополнительные по ходу вебинара. Если кратко, то мы обсуждали следующие вопросы : ·         про ответственного за организацию обработки ·         про согласие ПДн ·         про ПДн биометрию ·         про ПДн спецкатегории ·         про обезличивание ПДн ·         про обработку ПДн в группе компаний ...

Коллеги, блогеры уже успели описаться в твиттере и фейсбуке по этому вопросу. На всякий случай и я выложу картинку, вдруг кому пригодится. PS : другая заметка по теме новых требований к МЭ PPS : кто знает почему письмо по электронной почте могло идти 18 дней? PPPS: советую все-таки присмотреться к срокам действия сертификатов МЭ, которые уже скоро заканчиваются, их могут не успеть продлить вовремя. PPPPS : ФТСЭК России обещал ответить на другие актуальные вопросы на своей приближающейся конференции АВЗИ

Летом этого года, в связи с выходом различных комментариев и информационных ресурсов по ПДн от Роскомнадзора несколько экспертов обрушились с жесткой критикой данной Службы: дескать всё неправильно, экспертов не позвали, нельзя РКН ничего комментировать, комментировать можно Минкомсвязи и т.п. В итоге мы получили ситуацию когда оператор, желающий задать регулятору насущные вопросы, например такие: 1) Относится ли обработка анкет кандидатов на работу с вопросом "Имеется ли у вас судимость?" и вариантами ответа "Да" или "Нет" к обработке персональных данных о судимости (часть 3 статьи 10)?  2) Относится ли получение от кандидата на работу "справки об отсутствии судимости" и хранение такой справки в организации к обработке персональных данных о судимости (часть 3 статьи 10)? 3) Относится ли обработка персональных данных о судимости к обработке специальных категорий персональных данных (часть 1 статьи 10)? 4) Относится ли код заболевания,...

В конце прошлого года у меня подобралось несколько вопросов в рамках защиты ПДн, по которым не было однозначного ответа. При этом ряд знакомых экспертов (Артем Агеев, Николай Домуховский и д.р.) советовали не заниматься публичными рассуждениями, а писать письма регуляторам. Письма были написаны, давайте посмотрим что получилось с вопросами к ФСТЭК России: Вопрос 1. Возможно ли при выборе мер обеспечения безопасности ПДн в ИСПДн исключать меры защиты из базового набора, на том основании, что связанные с данной мерой угрозы безопасности ПДн – неактуальны? а) Если да, то на каком этапе выполняется данное исключение (адаптации, уточнения, дополнения)? (примечание автора – данный вопрос возник с связи с наличием различных трактовок приказа №21 ФСТЭК в части исключения мер защиты , так как в явном виде в приказе не указано, что исключение возможно исключение мер защиты, связанных с неактуальными угрозами. Так-же сторонники “возможности исключения” не могут назвать явно, на како...