Всем привет! Я руковожу центром киберзащиты DataLine. К нам приходят заказчики с задачей выполнения требований 152-ФЗ в облаке или на физической инфраструктуре.
Практически в каждом проекте приходится проводить просветительскую работу по развенчанию мифов вокруг этого закона. Я собрал самые частые заблуждения, которые могут дорого обойтись бюджету и нервной системе оператора персональных данных. Сразу оговорюсь, что случаи госконтор (ГИС), имеющих дело с гостайной, КИИ и пр. останутся за рамками этой статьи.
Рубрика «152-фз» - 2
Мифы о 152-ФЗ, которые могут дорого обойтись оператору персональных данных
2019-04-04 в 7:10, admin, рубрики: 152-фз, Блог компании DataLine, информационная безопасность, испдн, персональные данные, ФСТЭК
GDPR очень хорошо защищает персональные ваши данные, но только если вы находитесь в Европе
2019-03-15 в 19:04, admin, рубрики: 152-фз, gdpr, Законодательство в IT, персональные данные, хранение данных
Сравнение подходов и практики защиты персональных данных в России и ЕС
Фактически при любом действии совершаемым пользователем в интернете, происходит в той или иной форме манипуляции персональными данными пользователя.
Мы не платим за многие услуги, которые получаем в интернете: за поиск информации, за электронную почту, за хранение наших данных в облаке, за общение в социальных сетях и т. д. Однако эти услуги лишь условно бесплатны: мы расплачиваемся за них своими данными, которые эти компании затем превращают в деньги, главным образом с помощью рекламы.
В настоящее время данные о поле, возрасте и месте жительства, история поиска —
основа для индустрии рекламы в интернете, объем которой исчисляется миллиардами долларов и евро. Т.е с юридической точки зрения персональные данные это материалы для ведения бизнеса. Соответственно компании прилагают огромные усилия и тратят немалые средства для получения и обработки персональных данных. Опросы, проведенные в 2018 году, показывают, что пользователи, понимая ценность своих персональных данных все более и более недовольны тем, как компании обходятся с их персональными данными.
Сервис uLogin отправляет данные из форм (почта, телефон) на сторонний сайт и молчит об этом
2018-06-04 в 19:11, admin, рубрики: 152-фз, cms, gdpr, ulogin, wordpress, вордпресс, защита персональных данных, информационная безопасность, Социальные сети и сообщества
Привет сообщество. Это моя первая запись, пусть она и не совсем длинная — но важный посыл в заголовке.
Есть такой сервис для авторизации через соцсети — uLogin. Разработчики выпустили много бесплатных плагинов под различные CMS и вот он — сыр в мышеловке.
Видно дела пошли не очень и пользователи начали замечать, что сервис подгружает странные скрипты при работе модуля. Я проводя аудит своего сайта — заметил что грузится counter.yadro.ru несколько раз. В общей сложности, при загрузке страницы, они загружали 18 ресурсов (js, css, прочие запросы) — это много для моего проекта у которого всего 47 запросов. А их сервис добавляет еще 18, включая запросы к сторонним сайтам.
Читать полностью »
Основные аспекты правомерности обработки персональных данных в трудовых отношениях
2018-05-11 в 13:12, admin, рубрики: 152-фз, Блог компании Cloud4Y, Законодательство в IT, информационная безопасность, кадровый учет, обеспечения безопасности ПДн, обработка персональных данных, организация обработки ПДн, Роскомнадзор, управление персоналом
Подавляющее большинство из нас состоит в трудовых отношениях и оставляет свои персональные данные работодателям для ведения кадрового учета. Работодатель, в свою очередь собирает такие данные и ведет их обработку. Казалось бы, стандартная ситуация. Но, в связке с ФЗ-152 «О персональных данных», все становится не так очевидно.
Какие основания для правомерной обработки есть у работодателей?
Трудовые отношения у нас регулируются Трудовым кодексом РФ, основываясь на его требованиях и рассмотрим различные аспекты отношений работодателя с работниками и/или соискателями.
Читать полностью »
Почему не нужно всегда получать согласие на обработку персональных данных в рамках GDPR
2018-04-18 в 9:33, admin, рубрики: 152-фз, gdpr, IT-стандарты, Блог компании ISPsystem, Законодательство и IT-бизнес, информационная безопасность, Облачные вычисления, персональные данные, стандарты безопасностиСтатья для тех, у кого клиенты в Евросоюзе. Я работаю юристом в компании ISPsystem и уже пару месяцев разбираюсь в тонкостях GDPR. В этой статье поделюсь своими мыслями о нем и расскажу, почему не надо по любому поводу спрашивать у клиента разрешение на обработку персональных данных.
Лайфхак по 152-ФЗ
Для начала небольшое, но важное отступление.
Недавно знакомый из торговой компании попросил посмотреть их договор с веб-студией. Те собирались дорабатывать сайт магазина. Первым делом я открыл техзадание и увидел, что ребята планируют зарегистрировать владельца сайта в Роскомнадзоре как оператора персональных данных. Я подумал: «Они это серьезно?» И сам же ответил: «К сожалению, да».
Читать полностью »
Исследование соответствия интернет-магазинов закону 152 ФЗ «О персональных данных»
2017-08-10 в 14:20, admin, рубрики: 152-фз, 152фз, Законодательство и IT-бизнес, интернет, персональные данныеИсследование соответствия интернет-магазинов закону 152 ФЗ «О персональных данных" проведено некоммерческим сайтом 152rf.com. Как известно, в случае если ваш сайт обрабатывает персональные данные россиян, вам необходимо предупреждать об этом ваших пользователей. Если на сайте не будет галочки «Согласие на обработку персональных данных», либо не будет «Политики конфиденциальности», владелец сайта может получить достаточно крупный штраф, в зависимости от найденных нарушений. В данном исследовании было проверено 36 750 российских интернет-магазинов.
Читать полностью »
Закон «О персональных данных» и практика его применения в российской действительности
2016-04-08 в 10:01, admin, рубрики: 152-фз, Блог компании RUVDS.com, провайдер, ФЗ-152, хостинг, хостинг-провайдер, метки: фз-152 
Как известно, в России несколько лет действует Федеральный Закон №152 «О персональных данных».
За время его первой публикации в 2006 году Закон претерпел значительные изменения, а сами данные теперь обязаны храниться на территории Российской Федерации и быть защищены. На практике это приводит к повышению ответственности бизнеса в отношении обработки данных. О том насколько сложно соблюдать требования Закона «О персональных данных» и дает ли это реальный эффект пойдет речь в этой статье.
Любое юридическое лицо, организованное в российском правовом поле подпадает под данное регулирование. Наш проект RUVDS Закон затрагивает как в части обработки личных данных клиентов, так и защиты информации, с которой работают клиенты на нашем оборудовании.
Есть несколько объектов защиты.
Первый тип данных — сами данные о клиенте. К примеру, это его имя, дата и место рождения, паспортные данные, для юридических лиц – данные о компании. Клиент при начале работы с сервисом соглашается передать нам эту информацию на обработку, а мы обязуемся работать с ними в соответствии с Законом. Это более-менее понятный и просто объект защиты.
Второй тип данных – информация, которая непосредственно хранится клиентами на VDS/VPS сервере. Это как раз более значимый и важный объект защиты. Примерами таких данных может быть логин-пароль к социальной сети, почте, личная бухгалтерия у физических лиц. А у юридических лиц спектр подобной информации еще шире – это и клиентские базы данных, и бухгалтерия, и специализированное ПО.Читать полностью »
Документы по защите персональных данных. Боремся с халявщиками
2016-03-25 в 9:14, admin, рубрики: 152-фз, документы, информационная безопасность, персональные данныеЭта статья посвящена различного рода сервисам автоматической генерации комплекта внутренних документов организации по защите персональных данных на основе некоторой вводимой пользователем информации. Скажу честно, изначально это был гневный пост. Раздражение вызвала полученная по личным каналам информация о том, что представители одного из таких сервисов заходят к главным врачам лечебных учреждений города, в котором я проживаю, и пугают прокуратурой и наказанием за нарушение закона «О персональных данных» в случае отказа от подписки на такой сервис. Но вмешался случай — в процессе написания статьи возникли неотложные дела. И вся готовая на тот момент писанина была отправлена в черновики на неделю. За это время пар немного выпустился и сейчас я постараюсь спокойно объяснить почему такие сервисы не обеспечат надлежащее качество внутренней документации по защите персональных данных, расскажу о других проблемах таких порталов и в конце дам ссылку на некоторую сборную солянку тех же самых документов.
Научно-практический комментарий Роскомнадзора к закону «О персональных данных». Есть ли в нем что-то научное и практическое?
2015-07-23 в 7:04, admin, рубрики: 152-фз, Законодательство и IT-бизнес, персональные данные, РоскомнадзорСовсем недавно в узконаправленных СМИ появилась новость о том, что Роскомнадзор опубликовал под эгидой Российской газеты чтиво под названием: «Федеральный закон «О персональных данных». Научно-практический комментарий». Для меня по роду деятельности эта брошюра (ну как брошюра, почти 200-страничный талмуд) просто «маст хэв». Несмотря на то что я уже 7 лет занимаюсь защитой персональных данных в организациях, за все это время так и не выстроилось в голове стройной картины «что, как и почему». Я надеялся, что рассматриваемый документ поможет хоть что-то упорядочить. Получилось ли у Роскомнадзора прояснить мутные моменты законодательства о персональных данных, читайте под катом.
Не совсем известные решения по защите ИТ-инфраструктуры бизнеса
2015-03-24 в 7:10, admin, рубрики: 152-фз, dlp, dpi, pci dss, анализ кода, Блог компании КРОК, ИБ, информационная безопасность, ит-инфраструктура, ПД, Россия, Сетевые технологии 
Классический подход российского бизнеса сегодня — это установка файрволла, затем после первых попыток направленных атак — системы защиты от вторжений. И дальше спать спокойно. На практике это даёт хороший уровень защиты только против скрипткидди, при любой более-менее серьёзной угрозе (например, от конкурентов или атаке от недоброжелателей, либо направленной атаке от иностранной группы промшипонажа) нужно что-то дополнительное, помимо классических средств.
Я уже писал про профиль типовой направленной атаки на российское гражданское предприятие. Теперь расскажу о том, как меняется стратегия защиты в целом в нашей стране в последние годы, в частности, в связи со смещением векторов атак на 0-day и связанные с этим внедрения статических анализаторов кода прямо в IDE.
Плюс пара примеров на сладкое — вы узнаете, что может твориться в полностью изолированной от Интернета сети и на периметре банка. Читать полностью »