Рубрика «защита персональных данных» - 6

Вот вышли новые требования ФСТЭК России приказом №21 по части защиты перcональных данных.

Решили его применить на Заказчике (уже даже в голове говорю себе о них всегда с большой буквы), у него инфраструктура на VMware. Но вот на какое требование указала мне коллега: «Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных». Требование работает для УЗ 1, УЗ 2 и УЗ 3. Т.е. широта охвата, наверное, будет нормальная.
Как требование ложится на согласование дейстий в VMware vSphere? Добро пожаловать под хабракат.

Читать полностью »

Вступление

Всем доброго времени суток! В этой статье я хотел бы еще раз поднять тему защиты персональных данных (далее будем обзывать их — ПДн), а также тему защиты от регуляторов. Пик дебатов на тему защиты ПДн давно прошел. Приходились эти пики как правило на приближение очередного «самого последнего срока» ввода 152-ФЗ в полную силу. В итоге «самый последний срок» наступил, активные дебаты стихли, но закон «О персональных данных» живет, регуляторы устраивают проверки и наказывают нарушителей. Поэтому тема будет еще долго актуальна.

Сразу оговорюсь, что в этой статье в основном будет информация организационного характера, нежели техническая. «А зачем такая информация нужна нам?» — спросит читатель хабра. Объясняю: так уж получилось, что начальники как крупных, так и не очень организаций не любят выстраивать длинные логические цепочки и вникать в суть вопроса, который лежит далеко от их компетенции. Поэтому при возникновении необходимости обеспечения защиты персональных данных строится вполне логичная по их мнению взаимосвязь: «Защита персональных данных» -> «Защита информации» -> «Информационные технологии» -> «Взвалить вопрос защиты ПДн на IT-шников». И пофигу, что в этом вопросе львиную долю можно поручить юристам и кадровикам, но как говорится в бородатом анекдоте: «кому не нравится грузить люминь, пойдет грузить чугуний».

image
Типичный пример разглашения ПДн специальной категории (сведения об интимной жизни)

Читать полностью »

Способ выполнить требования 152 ФЗ №1: Системный интегратор

Многие не знают, что есть несколько способов выполнить требования закона №152-ФЗ «О персональных данных». Все они различаются порой кардинальным образом: стоимостью, сложностью и временем реализации.

Один из специалистов нашей команды Б-152 решил поведать вам о первом способе: обращении к системному интегратору и работе с ним.
Читать полностью »

Уважаемые коллеги.
Давайте с вами не много пофантазируем.
Вы давно и успешно занимаетесь поддержкой IT инфраструктуры небольших компаний.
Метод ведения бизнеса — фриланс.
Все хорошо, до какого-то момента.
Но в один не прекрасный момент, при заключение казалось бы 100% договора, вам отказывают, не объясняя причину.
Если это происходит один раз, это нормально. Два — некая погрешность. В 5 раз начинаешь задумываться и задовать вопрос, на который получишь весьма неожиданный ответ.
Читать полностью »

Мифы о защите персональных данных в облаке
В последнее время часто поднимаются вопросы о возможности обработки и защиты персональных данных в «облаках» в соответствии с ФЗ №152 «О персональных данных». Всё это зачастую напоминает обсуждение мифов, поэтому рискну изложить свой взгляд на проблему защиты ИСПДн в облаках и попробую ответить на основные вопросы.

Примерный список вопросов таков:

  • Можно ли, в принципе, размещать информационные системы персональных данных (ИСПДн) в «облаке» с учетом требований регулирующих органов по защите информации?
  • Какими свойствами должно обладать «облако», чтобы его можно было использовать для построения информационных систем персональных данных (ИСПДн)?
  • Что необходимо учесть оператору ПДн, решившему перенести свои информационные ресурсы в «облако»?
  • Возможно ли аттестовать ИСПДн, размещенную в публичном «облаке»?
  • Какие задачи по обеспечению ИБ возлагаются на облачного провайдера?
  • Какие существуют гарантии того, что конкурент, размещенный в том же «облаке» по соседству, надежно отделен и не сможет атаковать, находясь внутри «облака»?
  • От чего зависит ИСПДн какого класса можно построить в конкретном «облаке»?

Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js