ПД: Новости. Слухи

Форум Сообщества Практиков Конкурентной разведки (СПКР)

Конкурентная разведка, Бизнес-разведка, Корпоративная разведка,
Деловая разведка по открытым источникам в бизнесе.
Работаем строго в рамках закона.

Дезинформация и активные мероприятия в бизнесе
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Теория и практика работы с персональными данными »   ПД: Новости. Слухи
RSS

ПД: Новости. Слухи

  Вперед>>Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13
Печать
 
toparenko
Модератор форума
ANTESIGNĀNUS
Откуда: СССР
Всего сообщений: 728
Рейтинг пользователя: 5


Ссылка


Дата регистрации на форуме:
7 июня 2009
Второе чтение назначено на 11.12.09
[q]
Проект № 284213-5
во втором чтении


ФЕДЕРАЛЬНЫЙ ЗАКОН


О внесении изменений в статьи 19 и 25 Федерального закона «О персональных данных»


(О внесении изменений в Федеральный закон «О персональных данных»)





Статья 1
Внести в Федеральный закон от 27 июля 2006 года № 152-ФЗ
«О персональных данных» (Собрание законодательства Российской Федерации, 2006, № 31, ст. 3451) следующие изменения:
1) в части 1 статьи 19 слова «, в том числе использовать шифровальные (криптографические) средства,» исключить;
2) часть 3 статьи 25 изложить в следующей редакции:
«3. Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года.».


Статья 2
Настоящий Федеральный закон вступает в силу со дня его официального опубликования.


Президент
Российской Федерации Д.Медведев
[/q]

---
Грабли - это оружие. Бывают веерные и обычные (с) Что? Где? Когда? 30.05.2009
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
_ttp://community.livejournal.com/personal_data/77309.html

[q]

- "О внесении изменений в статьи 19 и 25 Федерального закона "О персональных данных" (в части исключения требования об использовании криптографических средств защиты персональных данных и продления срока, в течение которого ранее созданные информационные системы персональных данных подлежат приведению в соответствие с Федеральным законом "О персональных данных"), "за" - 313.

Принят в 1 чтении 20.11.09 с названием "О внесении изменений в Федеральный закон "О персональных данных".

Законопроект представил первый заместитель председателя Комитета по конституционному законодательству и государственному строительству Александр Москалец.
[/q]
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
опыт прохождения проверки РСКН одним банком - _ttp://dom.bankir.ru/showpost.php?p=2649348&postcount=355

[q]

Отстрелялся.
«Замечаний нет».
Честно-честно Поэтому и молчал долго – отмечал.

Итак за неделю до начала проверки прислали нам факсом Уведомление: В целях проведения плановой проверки… бла-бла-бла… До начала проверки просим сообщить, кто будет полномочным представителем. Приложение – копия приказа о проведении плановой проверки.

Всё, что было в приказе перечислять нет смысла, отмечу самое интресное:
1. Проверка проводится с целью выполнения ежегодного плана деятельности Управления РКН… (да такой «цели» я тоже был удивлён»).
2. Задачами проверки являются контроль и надзор за соответствием обработки ПД.
3. Предмет проверки – соблюдение обязательных требований.
4. Провести мероприятия для достижения целей и задач проверки:
- проверка сведений, предоставленных в уведомлении;
- проверка возможности ознакомления субъекта с документами и материалами, непосредственно затрагивающими его права и свободы;
- проверка в отношении создания общедоступных источников ПД;
- проверка соблюдения требований при обработке специальных категорий;
- проверка наличия письменного согласия;
- проверка наличия акта классификации ИСПДн;
- проверка выполнения требований конфиденциальности;
- проверка наличия договоров с третьими лицами и условий соблюдения конфиденциальности;
- проверка трансграничной передачи;
- проверка наличия локальных актов, регламентирующих порядок и условия обработки.
В общем, всё как по проекту регламента.

Были запрошены следующие документы:
1. Устав, свидетельство о госрегистрации, лицензии, ИНН и т.п.
2. Уведомление об обработке ПД (которое мы им отправляли).
3. Справка о постановке на балансовый учёт ПЭВМ.
4. Приказ об утверждении и введении в действие перечня сведений конфиденциального характера.
5. Справка о порядке и последовательности обработки ПД.
6. Утверждённый акт о классификации ИСПДн.
7. Приказ о назначении структурного подразделения или должностного лица, ответственного за разработку и осуществление мероприятий по обеспечению безопасности ПД.
8. Форма соглашения о конфиденциальности;
9. Форма уведомления о конфиденциальной информации и прекращении трудовых и гражданско-правовых отношений оператором.
10. Типовая форма обязательства сотрудника перед оператором.
11. Приказ об утверждении списка лиц, имеющих право доступа в помещения, в которых осуществляется обработка ПД.
12. Приказ об утверждении перечня лиц, имеющих право доступа в архивное помещение.
13. Типовой договор на оказание услуг.
14. Распечатка полей (форм) табличного массива ПД.

В свою очередь, были предоставлены для изучения:
- Политика ИБ;
- Положение об обработке персональных данных;
- регламенты, положения и инструкции по работе с клиентами, работниками;
- приказы о назначении администраторов ИБ;
- положения о подразделениях и должностные инструкции лиц, ответственных за обеспечении ИБ;
- Положение об организации пропускного и внутриобъектового режима;
- копия приказов по режимным помещения (требования, список лиц и т.д.);
- пачка документов по обеспечению ИБ в информационной системе банка;
- и ещё что-то по мелочи.
В общем, набралась стопка бумаги высотой сантиметра 4.

При проверке обратили внимание на следующие моменты:
1. Вместо карты сети устроили им экскурсию по нашим офисам, показали, как стоят компьютеры («нельзя» подсмотреть в монитор), опечатываемые кабинеты, металлические шкафы, серверные, архивы и т.д. Т.е. рассказали на примере как хранится и где обрабатывается. Схематично нарисовали, как обеспечена защита из-вне, организована связь между офисами.
2. Смотрели журналы регистрации и перемещения съёмных носителей информации и всё, что с этим связано.
3. Как организована кадровая работа, как передаются данные в налоговую, пенсионный фонд.
4. Как защищены рабочие места сотрудников, осуществляется доступ к информационной системе банка, обеспечивается защита каналов связи, передаются сообщения в ФНС, ФСФМ и т.д.
5. Процесс устройства на работу, ознакомление с документами, приказами, перечнями, подписание обязательств, предоставление доступа к ПД. Кстати, приказ о допуске к ПД у нас нет. Вместо этого используется другая схема:
- общие правила и условия обработки прописаны в Положении об обработке персональных данных;
- частные правила – в регламентах, положениях и порядках;
- права и обязанности (в том числе по допуску к ПД) в положениях об отделах и должностных инструкциях. Т.е. на любой момент времени можно установить, кто имел доступ к тому или иному документу.
6. Являются ли копии паспортов биометрическими персональными данными спорили долго. Даже территориальное ЦБ на уши поставили (мы) .
7. Акта классификации у нас не было. Вместо него предоставили приказ о назначении рабочей группе и плане работ.
8. Как ведётся учёт посетителей. Как это организовано у нас, я уже рассказывал: обезличенные ПД + цель – статистический учёт.
9. Ну всё то, что я обсуждал крайний месяц на форуме

Резюме: Пришли адекватные люди (а не киборги, про которых пишут в новостях), которые готовы были общаться и обсуждать проблемы. По некоторым проблемным вопросам получили «подсказки» и разъяснения. В процессе проверки исправили несколько недочётов и отправили им новое уведомление.
[/q]
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009

_ttp://ispdn.ru/news/detail_industry.php?ELEMENT_ID=4901
[q]

В текущих версиях документов, опубликованных на сайте Федеральной службы по техническому и экспортному контролю, приведены новые изменения, касающиеся оценки соответствия (сертификации) программного обеспечения информационных систем персональных данных (ИСПДн).


1. В частности, в Государственном реестре сертифицированных средств защиты информации (xls) удалена запись о том, испытания на отсутствие недекларированных возможностей допускается не проводить по согласованию с ФСТЭК России.


2. А вот в п.4.2 нормативно-методического документа «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (doc) снова появилась фраза, что «в ИСПДн должен проводиться контроль на наличие недекларированных возможностей в программном и программно-аппаратном обеспечении и анализ защищенности системного и прикладного программного обеспечения».


[/q]
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
toparenko
Модератор форума
ANTESIGNĀNUS
Откуда: СССР
Всего сообщений: 728
Рейтинг пользователя: 5


Ссылка


Дата регистрации на форуме:
7 июня 2009
16.12.09 Дума
[q]
Рассмотрены и приняты в третьем чтении следующие законы:
- "О внесении изменений в статьи 19 и 25 Федерального закона "О персональных данных" (в части исключения требования об использовании криптографических средств защиты персональных данных и продления срока, в течение которого ранее созданные информационные системы персональных данных подлежат приведению в соответствие с Федеральным законом "О персональных данных"), "за" – 311.

Законопроект представил первый заместитель председателя Комитета по конституционному законодательству и государственному строительству Александр Москалец.

По мотивам голосования высказался Владимир Кашин.
[/q]

Далее СФ и Президент

---
Грабли - это оружие. Бывают веерные и обычные (с) Что? Где? Когда? 30.05.2009
petryashov
Администратор

Откуда: Москва
Всего сообщений: 490
Рейтинг пользователя: 9


Ссылка


Дата регистрации на форуме:
7 июня 2009
[q]
Закон отложен – проблема осталась
Автор: Наталья Касперская
Опубликовано 17 декабря 2009 года
Срок приведения некоторых информационных систем в соответствие с законом "О персональных данных" был отложен Государственной Думой ещё на один год. Таким образом, волна страха перед проверками, которые должны были начаться с января 2010, немного отхлынула. У нас ведь как – завтра не надо внедрять, значит, сегодня можно поспать. Хотя проверки предприятий на предмет защиты персональных данных начались ещё весной 2009-го, и на 2010-й их запланировано немало.


Между тем, у Госдумы были серьёзные причины для переноса срока. Кроются они как внутри самого закона, так и вне его. Внутренние причины: закон крайне неопределённо трактует действия, которые необходимо совершить для того, чтобы ему соответствовать. А это, в свою очередь, создает огромные проблемы для субъектов данного закона. Ведь как сейчас трактуется необходимость соответствия? Есть персональные данные – иди к сертифицированному интегратору, пусть он тебе наладит процессы. Вы можете себе представить, как большинство российских компаний (по некоторым оценкам, операторов ПД в РФ до трёх миллионов!) ломанутся к избранным (малому числу) интеграторам, чтобы "налаживать процессы"? Да гораздо проще просто откупиться, благо, штрафы небольшие. Мы разговаривали с десятками компаний, обрабатывающих персональные данные. Многие из них - крупные игроки российской экономики. На вопрос, как они собираются соответствовать закону, большинство честно отвечало – будем откупаться.

Заметим себе, что подобные законы существуют в Европе (например, испанский LOPD – Ley Orgánica de Protección de Datos; директива ЕС Data Protection Directive; австрийский федеральный акт о защите персональных данных Datenschutzgesetz 2000 и другие) и в Штатах (знаменитый Сарбанес-Оксли). Для соответствия законам там, как правило, просто требуется установить у себя систему, которая бы защищала предприятие от утечек или обеспечивала определённый уровень ИБ. Это – прозрачный и ясный подход. Покупаешь систему рекомендованного класса (не вендора!) – и получаешь сертификат соответствия.

В нашем случае всё сложнее. Закупка системы определенного класса не является достаточным и даже необходимым условием "соответствия". Более того, закон вообще не устанавливает перечня обязательных средств защиты. А, например, системы борьбы с утечками (DLP-системы) было бы логично сделать обязательными для высшей категории данных. Кстати сказать, 11 декабря во втором чтении приняты поправки к 152-ФЗ, исключающие шифрование из списка обязательных методов защиты. Что остается? Антивирусная защита? Мне, как антивирусному вендору, это приятно, но для решения проблемы персональных данных антивирус помогает весьма опосредованно.

Почему в подзаконные акты не включили специализированные средства борьбы с утечками? Не знаю. То ли законодатели о них не знали, то ли не сочли их достаточно эффективными, то ли просто DLP-вендоры не участвовали в законотворчестве по данному вопросу и не связаны соответствующими отношениями с государственными "регуляторами".

Чтоб закон "О персональных данных" работал, лучше всего было бы его переписать заново. В нынешнем виде он принуждает операторов не защищать данные, а исполнять требования государственных органов. Устанавливает наказания не за утечки данных и не за ущерб субъектам ПД, а за неисполнение ведомственных приказов. Это создает почву для злоупотреблений, но не помогает решать проблему. Можно предсказывать, что данные будут продолжать утекать.

Кроме того, объём защищаемых данных и строгость мер защиты необычайно завышены. Сверх всяких разумных потребностей. Исполнение требований снижает риски на копейки (где вообще снижает), а вложений требует на миллионы. Имеет смысл посмотреть на опыт США, где с персональными данными мошенничают очень давно, с 1960-х. Там применяется подход, в чём-то противоположный европейскому (и, соответственно, российскому). В Европе ПД определены максимально широко, все они подлежат защите "на всякий случай", а для некоторых сделаны исключения. А в США явным образом перечислены данные, надежно защищать которые обязательно. Это те, при помощи которых можно реально украсть деньги: номера банковских карт, номера соцстрахования, пароли к банковским аккаунтам и некоторые другие виды ПД. Мне кажется, что этот подход, как минимум, требует изучения.

Источник: www.computerra.ru/print/488611/
[/q]
Искендер
Администратор

Всего сообщений: 6038
Рейтинг пользователя: 43


Ссылка


Дата регистрации на форуме:
7 июня 2009

Прецедент: в Миассе прокуратура потребовала наказать педагога, выдавшего третьему лицу персональные данные ученицы

Интересный случай в практике прокурорского надзора на Южном Урале. Сотрудник образовательного учреждения в Миассе оказалась привлечена к ответственности за незаконную передачу персональных данных своей бывшей ученицы третьему лицу. Проверка была проведена по просьбе матери несовершеннолетней, сообщили в пресс-центре прокуратуры Челябинской области.

Установлено, что бывший классный руководитель воспитанницы по устной просьбе постороннего лица выдала на нее характеристику. Однако согласно части 1 статьи 6 федерального закона «О персональных данных» обработка, распространение и передача персональных данных гражданина может осуществляться только с его согласия. Исключение могут составлять строго определенные законом случаи, о которых в данном случае речи быть не может.

В итоге по представлению прокуратуры Миасса сотрудницу образовательного учреждения привлекли к дисциплинарной ответственности.

ura.ru/content/chel/24-12-2009/news/1052108331.html

---
I`m not a Spy! I can do much better!
Информационные войны "под ключ"
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
toparenko
Модератор форума
ANTESIGNĀNUS
Откуда: СССР
Всего сообщений: 728
Рейтинг пользователя: 5


Ссылка


Дата регистрации на форуме:
7 июня 2009
Федеральный закон Российской Федерации от 27 декабря 2009 г. N 363-ФЗ "О внесении изменений в статьи 19 и 25 Федерального закона "О персональных данных""
[q]
Опубликовано 29 декабря 2009 г.
Вступает в силу: 29 декабря 2009 г.

Принят Государственной Думой 16 декабря 2009 года
Одобрен Советом Федерации 25 декабря 2009 года

Статья 1
Внести в Федеральный закон от 27 июля 2006 года N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451) следующие изменения:
1) в части 1 статьи 19 слова ", в том числе использовать шифровальные (криптографические) средства," исключить;
2) часть 3 статьи 25 изложить в следующей редакции:
"3. Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года.".

Статья 2
Настоящий Федеральный закон вступает в силу со дня его официального опубликования.

Президент Российской Федерации Д. Медведев
[/q]

---
Грабли - это оружие. Бывают веерные и обычные (с) Что? Где? Когда? 30.05.2009
  Вперед>>Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13
Печать
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Теория и практика работы с персональными данными »   ПД: Новости. Слухи
RSS

Последние RSS
Top tips on gathering information about companies by using free online sources
Новое на блоге HRразведка
Безопасность данных в MS Access
Слово как улика
20 Recon and Intel Gathering Tools used by InfoSec Professionals
What’s Changed?
10 альтернативных поисковиков
Ситуационный центр главы Республики Коми
Развёртывание ситуационных центров на базе технологии Avalanche
Как принимать сложные решения. Советы бывшего оперативника ЦРУ.
Открытая информация о "Новичке" из сети интернет.
Ген. директор "ОЗХО" Ахмет Узюмдж о "Новичке" и хим. атаке в Сирии
Онлайн-сервисы для Twitter
Коллекция для Twitter
Приложение Opera VPN закрывается
О работе разведки
Deep web и 11 поисковиков по нему
Об изначальной "лживости" любых документов
Обновление на блоге HRазведка
методическое пособие

Самые активные 20 тем RSS
Слово как улика
Top tips on gathering information about companies by using free online sources
Новое на блоге HRразведка
WebSite Watcher
Безопасность данных в MS Access