ПД: Новости. Слухи

Форум Сообщества Практиков Конкурентной разведки (СПКР)

Конкурентная разведка, Бизнес-разведка, Корпоративная разведка,
Деловая разведка по открытым источникам в бизнесе.
Работаем строго в рамках закона.

Дезинформация и активные мероприятия в бизнесе
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Теория и практика работы с персональными данными »   ПД: Новости. Слухи
RSS

ПД: Новости. Слухи

<<Назад  Вперед>>Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13
Печать
 
toparenko
Модератор форума
ANTESIGNĀNUS
Откуда: СССР
Всего сообщений: 728
Рейтинг пользователя: 5


Ссылка


Дата регистрации на форуме:
7 июня 2009
Второе чтение назначено на 11.12.09
[q]
Проект № 284213-5
во втором чтении


ФЕДЕРАЛЬНЫЙ ЗАКОН


О внесении изменений в статьи 19 и 25 Федерального закона «О персональных данных»


(О внесении изменений в Федеральный закон «О персональных данных»)





Статья 1
Внести в Федеральный закон от 27 июля 2006 года № 152-ФЗ
«О персональных данных» (Собрание законодательства Российской Федерации, 2006, № 31, ст. 3451) следующие изменения:
1) в части 1 статьи 19 слова «, в том числе использовать шифровальные (криптографические) средства,» исключить;
2) часть 3 статьи 25 изложить в следующей редакции:
«3. Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года.».


Статья 2
Настоящий Федеральный закон вступает в силу со дня его официального опубликования.


Президент
Российской Федерации Д.Медведев
[/q]

---
Грабли - это оружие. Бывают веерные и обычные (с) Что? Где? Когда? 30.05.2009
Vinni
Администратор

Всего сообщений: 2711
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
_ttp://community.livejournal.com/personal_data/77309.html

[q]

- "О внесении изменений в статьи 19 и 25 Федерального закона "О персональных данных" (в части исключения требования об использовании криптографических средств защиты персональных данных и продления срока, в течение которого ранее созданные информационные системы персональных данных подлежат приведению в соответствие с Федеральным законом "О персональных данных"), "за" - 313.

Принят в 1 чтении 20.11.09 с названием "О внесении изменений в Федеральный закон "О персональных данных".

Законопроект представил первый заместитель председателя Комитета по конституционному законодательству и государственному строительству Александр Москалец.
[/q]
Vinni
Администратор

Всего сообщений: 2711
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
опыт прохождения проверки РСКН одним банком - _ttp://dom.bankir.ru/showpost.php?p=2649348&postcount=355

[q]

Отстрелялся.
«Замечаний нет».
Честно-честно Поэтому и молчал долго – отмечал.

Итак за неделю до начала проверки прислали нам факсом Уведомление: В целях проведения плановой проверки… бла-бла-бла… До начала проверки просим сообщить, кто будет полномочным представителем. Приложение – копия приказа о проведении плановой проверки.

Всё, что было в приказе перечислять нет смысла, отмечу самое интресное:
1. Проверка проводится с целью выполнения ежегодного плана деятельности Управления РКН… (да такой «цели» я тоже был удивлён»).
2. Задачами проверки являются контроль и надзор за соответствием обработки ПД.
3. Предмет проверки – соблюдение обязательных требований.
4. Провести мероприятия для достижения целей и задач проверки:
- проверка сведений, предоставленных в уведомлении;
- проверка возможности ознакомления субъекта с документами и материалами, непосредственно затрагивающими его права и свободы;
- проверка в отношении создания общедоступных источников ПД;
- проверка соблюдения требований при обработке специальных категорий;
- проверка наличия письменного согласия;
- проверка наличия акта классификации ИСПДн;
- проверка выполнения требований конфиденциальности;
- проверка наличия договоров с третьими лицами и условий соблюдения конфиденциальности;
- проверка трансграничной передачи;
- проверка наличия локальных актов, регламентирующих порядок и условия обработки.
В общем, всё как по проекту регламента.

Были запрошены следующие документы:
1. Устав, свидетельство о госрегистрации, лицензии, ИНН и т.п.
2. Уведомление об обработке ПД (которое мы им отправляли).
3. Справка о постановке на балансовый учёт ПЭВМ.
4. Приказ об утверждении и введении в действие перечня сведений конфиденциального характера.
5. Справка о порядке и последовательности обработки ПД.
6. Утверждённый акт о классификации ИСПДн.
7. Приказ о назначении структурного подразделения или должностного лица, ответственного за разработку и осуществление мероприятий по обеспечению безопасности ПД.
8. Форма соглашения о конфиденциальности;
9. Форма уведомления о конфиденциальной информации и прекращении трудовых и гражданско-правовых отношений оператором.
10. Типовая форма обязательства сотрудника перед оператором.
11. Приказ об утверждении списка лиц, имеющих право доступа в помещения, в которых осуществляется обработка ПД.
12. Приказ об утверждении перечня лиц, имеющих право доступа в архивное помещение.
13. Типовой договор на оказание услуг.
14. Распечатка полей (форм) табличного массива ПД.

В свою очередь, были предоставлены для изучения:
- Политика ИБ;
- Положение об обработке персональных данных;
- регламенты, положения и инструкции по работе с клиентами, работниками;
- приказы о назначении администраторов ИБ;
- положения о подразделениях и должностные инструкции лиц, ответственных за обеспечении ИБ;
- Положение об организации пропускного и внутриобъектового режима;
- копия приказов по режимным помещения (требования, список лиц и т.д.);
- пачка документов по обеспечению ИБ в информационной системе банка;
- и ещё что-то по мелочи.
В общем, набралась стопка бумаги высотой сантиметра 4.

При проверке обратили внимание на следующие моменты:
1. Вместо карты сети устроили им экскурсию по нашим офисам, показали, как стоят компьютеры («нельзя» подсмотреть в монитор), опечатываемые кабинеты, металлические шкафы, серверные, архивы и т.д. Т.е. рассказали на примере как хранится и где обрабатывается. Схематично нарисовали, как обеспечена защита из-вне, организована связь между офисами.
2. Смотрели журналы регистрации и перемещения съёмных носителей информации и всё, что с этим связано.
3. Как организована кадровая работа, как передаются данные в налоговую, пенсионный фонд.
4. Как защищены рабочие места сотрудников, осуществляется доступ к информационной системе банка, обеспечивается защита каналов связи, передаются сообщения в ФНС, ФСФМ и т.д.
5. Процесс устройства на работу, ознакомление с документами, приказами, перечнями, подписание обязательств, предоставление доступа к ПД. Кстати, приказ о допуске к ПД у нас нет. Вместо этого используется другая схема:
- общие правила и условия обработки прописаны в Положении об обработке персональных данных;
- частные правила – в регламентах, положениях и порядках;
- права и обязанности (в том числе по допуску к ПД) в положениях об отделах и должностных инструкциях. Т.е. на любой момент времени можно установить, кто имел доступ к тому или иному документу.
6. Являются ли копии паспортов биометрическими персональными данными спорили долго. Даже территориальное ЦБ на уши поставили (мы) .
7. Акта классификации у нас не было. Вместо него предоставили приказ о назначении рабочей группе и плане работ.
8. Как ведётся учёт посетителей. Как это организовано у нас, я уже рассказывал: обезличенные ПД + цель – статистический учёт.
9. Ну всё то, что я обсуждал крайний месяц на форуме

Резюме: Пришли адекватные люди (а не киборги, про которых пишут в новостях), которые готовы были общаться и обсуждать проблемы. По некоторым проблемным вопросам получили «подсказки» и разъяснения. В процессе проверки исправили несколько недочётов и отправили им новое уведомление.
[/q]
Vinni
Администратор

Всего сообщений: 2711
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009

_ttp://ispdn.ru/news/detail_industry.php?ELEMENT_ID=4901
[q]

В текущих версиях документов, опубликованных на сайте Федеральной службы по техническому и экспортному контролю, приведены новые изменения, касающиеся оценки соответствия (сертификации) программного обеспечения информационных систем персональных данных (ИСПДн).


1. В частности, в Государственном реестре сертифицированных средств защиты информации (xls) удалена запись о том, испытания на отсутствие недекларированных возможностей допускается не проводить по согласованию с ФСТЭК России.


2. А вот в п.4.2 нормативно-методического документа «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (doc) снова появилась фраза, что «в ИСПДн должен проводиться контроль на наличие недекларированных возможностей в программном и программно-аппаратном обеспечении и анализ защищенности системного и прикладного программного обеспечения».


[/q]
Vinni
Администратор

Всего сообщений: 2711
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
toparenko
Модератор форума
ANTESIGNĀNUS
Откуда: СССР
Всего сообщений: 728
Рейтинг пользователя: 5


Ссылка


Дата регистрации на форуме:
7 июня 2009
16.12.09 Дума
[q]
Рассмотрены и приняты в третьем чтении следующие законы:
- "О внесении изменений в статьи 19 и 25 Федерального закона "О персональных данных" (в части исключения требования об использовании криптографических средств защиты персональных данных и продления срока, в течение которого ранее созданные информационные системы персональных данных подлежат приведению в соответствие с Федеральным законом "О персональных данных"), "за" – 311.

Законопроект представил первый заместитель председателя Комитета по конституционному законодательству и государственному строительству Александр Москалец.

По мотивам голосования высказался Владимир Кашин.
[/q]

Далее СФ и Президент

---
Грабли - это оружие. Бывают веерные и обычные (с) Что? Где? Когда? 30.05.2009
petryashov
Администратор

Откуда: Москва
Всего сообщений: 490
Рейтинг пользователя: 9


Ссылка


Дата регистрации на форуме:
7 июня 2009
[q]
Закон отложен – проблема осталась
Автор: Наталья Касперская
Опубликовано 17 декабря 2009 года
Срок приведения некоторых информационных систем в соответствие с законом "О персональных данных" был отложен Государственной Думой ещё на один год. Таким образом, волна страха перед проверками, которые должны были начаться с января 2010, немного отхлынула. У нас ведь как – завтра не надо внедрять, значит, сегодня можно поспать. Хотя проверки предприятий на предмет защиты персональных данных начались ещё весной 2009-го, и на 2010-й их запланировано немало.


Между тем, у Госдумы были серьёзные причины для переноса срока. Кроются они как внутри самого закона, так и вне его. Внутренние причины: закон крайне неопределённо трактует действия, которые необходимо совершить для того, чтобы ему соответствовать. А это, в свою очередь, создает огромные проблемы для субъектов данного закона. Ведь как сейчас трактуется необходимость соответствия? Есть персональные данные – иди к сертифицированному интегратору, пусть он тебе наладит процессы. Вы можете себе представить, как большинство российских компаний (по некоторым оценкам, операторов ПД в РФ до трёх миллионов!) ломанутся к избранным (малому числу) интеграторам, чтобы "налаживать процессы"? Да гораздо проще просто откупиться, благо, штрафы небольшие. Мы разговаривали с десятками компаний, обрабатывающих персональные данные. Многие из них - крупные игроки российской экономики. На вопрос, как они собираются соответствовать закону, большинство честно отвечало – будем откупаться.

Заметим себе, что подобные законы существуют в Европе (например, испанский LOPD – Ley Orgánica de Protección de Datos; директива ЕС Data Protection Directive; австрийский федеральный акт о защите персональных данных Datenschutzgesetz 2000 и другие) и в Штатах (знаменитый Сарбанес-Оксли). Для соответствия законам там, как правило, просто требуется установить у себя систему, которая бы защищала предприятие от утечек или обеспечивала определённый уровень ИБ. Это – прозрачный и ясный подход. Покупаешь систему рекомендованного класса (не вендора!) – и получаешь сертификат соответствия.

В нашем случае всё сложнее. Закупка системы определенного класса не является достаточным и даже необходимым условием "соответствия". Более того, закон вообще не устанавливает перечня обязательных средств защиты. А, например, системы борьбы с утечками (DLP-системы) было бы логично сделать обязательными для высшей категории данных. Кстати сказать, 11 декабря во втором чтении приняты поправки к 152-ФЗ, исключающие шифрование из списка обязательных методов защиты. Что остается? Антивирусная защита? Мне, как антивирусному вендору, это приятно, но для решения проблемы персональных данных антивирус помогает весьма опосредованно.

Почему в подзаконные акты не включили специализированные средства борьбы с утечками? Не знаю. То ли законодатели о них не знали, то ли не сочли их достаточно эффективными, то ли просто DLP-вендоры не участвовали в законотворчестве по данному вопросу и не связаны соответствующими отношениями с государственными "регуляторами".

Чтоб закон "О персональных данных" работал, лучше всего было бы его переписать заново. В нынешнем виде он принуждает операторов не защищать данные, а исполнять требования государственных органов. Устанавливает наказания не за утечки данных и не за ущерб субъектам ПД, а за неисполнение ведомственных приказов. Это создает почву для злоупотреблений, но не помогает решать проблему. Можно предсказывать, что данные будут продолжать утекать.

Кроме того, объём защищаемых данных и строгость мер защиты необычайно завышены. Сверх всяких разумных потребностей. Исполнение требований снижает риски на копейки (где вообще снижает), а вложений требует на миллионы. Имеет смысл посмотреть на опыт США, где с персональными данными мошенничают очень давно, с 1960-х. Там применяется подход, в чём-то противоположный европейскому (и, соответственно, российскому). В Европе ПД определены максимально широко, все они подлежат защите "на всякий случай", а для некоторых сделаны исключения. А в США явным образом перечислены данные, надежно защищать которые обязательно. Это те, при помощи которых можно реально украсть деньги: номера банковских карт, номера соцстрахования, пароли к банковским аккаунтам и некоторые другие виды ПД. Мне кажется, что этот подход, как минимум, требует изучения.

Источник: www.computerra.ru/print/488611/
[/q]
Искендер
Администратор

Всего сообщений: 6038
Рейтинг пользователя: 43


Ссылка


Дата регистрации на форуме:
7 июня 2009

Прецедент: в Миассе прокуратура потребовала наказать педагога, выдавшего третьему лицу персональные данные ученицы

Интересный случай в практике прокурорского надзора на Южном Урале. Сотрудник образовательного учреждения в Миассе оказалась привлечена к ответственности за незаконную передачу персональных данных своей бывшей ученицы третьему лицу. Проверка была проведена по просьбе матери несовершеннолетней, сообщили в пресс-центре прокуратуры Челябинской области.

Установлено, что бывший классный руководитель воспитанницы по устной просьбе постороннего лица выдала на нее характеристику. Однако согласно части 1 статьи 6 федерального закона «О персональных данных» обработка, распространение и передача персональных данных гражданина может осуществляться только с его согласия. Исключение могут составлять строго определенные законом случаи, о которых в данном случае речи быть не может.

В итоге по представлению прокуратуры Миасса сотрудницу образовательного учреждения привлекли к дисциплинарной ответственности.

ura.ru/content/chel/24-12-2009/news/1052108331.html

---
I`m not a Spy! I can do much better!
Информационные войны "под ключ"
Vinni
Администратор

Всего сообщений: 2711
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
toparenko
Модератор форума
ANTESIGNĀNUS
Откуда: СССР
Всего сообщений: 728
Рейтинг пользователя: 5


Ссылка


Дата регистрации на форуме:
7 июня 2009
Федеральный закон Российской Федерации от 27 декабря 2009 г. N 363-ФЗ "О внесении изменений в статьи 19 и 25 Федерального закона "О персональных данных""
[q]
Опубликовано 29 декабря 2009 г.
Вступает в силу: 29 декабря 2009 г.

Принят Государственной Думой 16 декабря 2009 года
Одобрен Советом Федерации 25 декабря 2009 года

Статья 1
Внести в Федеральный закон от 27 июля 2006 года N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451) следующие изменения:
1) в части 1 статьи 19 слова ", в том числе использовать шифровальные (криптографические) средства," исключить;
2) часть 3 статьи 25 изложить в следующей редакции:
"3. Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года.".

Статья 2
Настоящий Федеральный закон вступает в силу со дня его официального опубликования.

Президент Российской Федерации Д. Медведев
[/q]

---
Грабли - это оружие. Бывают веерные и обычные (с) Что? Где? Когда? 30.05.2009
<<Назад  Вперед>>Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13
Печать
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Теория и практика работы с персональными данными »   ПД: Новости. Слухи
RSS

Последние RSS
шантаж, угрозы по Интернету
Практически весь интернет становится русскоязычным
SiteSputnik. Об одном подходе к мониторингу Телеграм
Безопасность при работе на ПК
Книги о критическом мышлении
Наказывать за вмешательство в частную жизнь, Верховный суд
CI Academic Materials
CiMi.CON Evolution USA
Поиск в КЭШ поисковиков по запросу и пакету запросов
СайтСпутник: Многоязычность, Юникод, MS ACCESS
Новый курс OSINT от АИС
Год тюрьмы за отказ удалять
Книга "Строим доверие по методикам спецслужб"
аналог "Консультанта" о зарубежном законодательстве
Открытые данные ФНС
Получаем информацию по VIN
Competitive-Market Intelligence Conference, Berlin 2018
Не все VPN-сервисы одинаково полезны
«Яндекс» научился выдавать в поиске не скрытые Google-документы. Правда лавочку
War and marketing: 1937 July 7th vs. 2018 July 1st

Самые активные 20 тем RSS