Метка «защита персональных данных»

Указанное в заголовке ведомство в последнее время все чаще фигурирует на хабре в новостях, связанных какими-нибудь очередными черными списками и смешными блокировками, но в этой статье я хотел бы вспомнить об одной из не менее важных функций Роскомнадзора – надзор за выполнением законодательства в сфере защиты персональных данных.

Так получилось, что в 2013-2014 годах в планы проверок Роскомнадзора попало немало наших клиентов, но мы особо этого не боялись, потому что проверки у наших клиентов проходили и ранее, опыт есть и весьма позитивный. Мы знали, что у новых клиентов тоже все приведено в порядок и ждали очередной проверки только чтобы поставить новую галочку в разделе портфолио «Успешно проведенные проверки регуляторов». Но эта статья не появилась бы на свет, если бы все соответствовало нашим оптимистичным ожиданиям…

Читать полностью »

imageКаждый новый пост, посвященный обзору различных маркетинговых инструментов и применению навязчивой рекламы, терпит фиаско и оказывается в огромном минусе, но в данном случае все будет немного иначе.

Если Вы особый ценитель, который с радушием воспринимает смс-рассылку, спам-сообщения на электронку и холодные звонки продавцов кирби, то Вы можете закрыть данный пост, остальных же прошу к занятной истории.

С чего начинают расти грибы

Каждый раз, когда я приступаю к созданию, либо к модернизации, какого-либо проекта я обращаю пристальное внимание на правовые вопросы организации бизнеса. Так как были неприятные моменты, которые оставили осадок, месяцы бессонных ночей и гигантские счета за адвокатов.

Теперь, даже, копируя фотографию из бесплатного фотобанка, я запрашиваю разрешение на использование у его владельца. Смешно, но паранойя и осторожность берут верх.Читать полностью »

Возможно, вы уже слышали про национальную платёжную систему. Изначально планировалось, что эта штука станет альтернативой международным платёжным системам. В частности, в 1998 году Виза и Мастеркард прекратили делать переводы по своим картам из-за кризиса – а их, между прочим, 85% рынка банковского пластика.

Но в самом законе акцент в итоге сделали на выводе из тени электронных платежей, которые раньше никак не контролировались, и собственно предоставлении регуляторам возможности контролировать действия банков в области безналичных денежных переводов. Сейчас речь снова зашла о полноценном создании национальной платежной системы, поэтому есть смысл ждать скорых поправок относительно блокировки передачи данных в США и других соответствующих требований.

Чтобы участвовать во всём этом, нужно проделать реально сложную работу с IT и ИБ, причём выполнить и проверить её может только организация с соответствующей лицензией. У нас такая лицензия есть, поэтому ниже я коротко обозначу основные проблемы в такого рода работах, с которыми мы уже столкнулись. Читать полностью »

image
Думаю каждый, кто хоть немного интересовался информационной безопасностью, да и просто периодически читает про события в сфере IT, встречал новости, что очередная компания или интернет-сервис были взломаны, и у них были украдены учетные записи пользователей, куда обычно входят электронные адреса, пароли, номера кредитных карт, как зовут вашего домашнего питомца и многое другое (далеко ходить за примером не нужно, в октябре этого года Adobe «поделилась» базой на 130-150 миллионов учетных записей). И хорошо еще, если сервис позаботился о шифровании паролей хотя бы без применения соли, в таком случае можно надеяться, что если злоумышленники захотят воспользоваться украденным, то им придется приложить некоторые усилия для этого.

Но достаточно продолжительное время меня удивляло другое — почему в большинстве случаев шифруются лишь пароли, почему такое пренебрежение к другим важным данным пользователя, как электронные адреса или номера кредитных карт?

Эта статья не претендует на открытие в сфере безопасности и, вероятно, будет содержать неточности и домыслы. Это скорее мысли вслух о проблеме защиты данных и случаях их утечки.
Читать полностью »

читатели, здравствуйте. На днях по роду своей профессиональной деятельности я столкнулась с проблемой, которая практически не освещена в рунете. Речь идет об изменениях в американском «Законе о защите конфиденциальности детей в Интернете» (Children's Online Privacy Protection Act или COPPA), которые затрагивают в том числе и иностранных операторов веб сайтов, в особенности игровых, если оные посещаются юзерами из США.

What is COPPA

COPPA — вещь не новая. Этот федеральный закон вступил в силу в 2000 году и применяется к сбору персональной информации от детей младше 13 лет. Согласно его основным положениям, операторы веб сайтов и интернет сервисов не имеют права запрашивать и хранить личные данные детей без получения официального согласия их родителей или опекунов. Несмотря на то, что законодательством предусмотрено несколько способов испросить согласия, большинство сайтов (например, Facebook, Twitter и Google+) предпочитают попросту блокировать доступ пользователям, не достигшим 13 лет.

В июле 2013 года закон ужесточили. Что произошло? Было расширено определение термина «персональная информация». Теперь сюда входят:

• ФИО;
• Контактные данные, включая адрес проживания, номер телефона, E-Mail, номер ICQ или Skype и тп.
• Ник пользователя, виртуальное имя
• Номер социального страхования
• Фото и видео ребенка, запись его голоса
АХТУНГ: номер cookie, IP-адрес, номер процессора или серийный номер устройства, которое осуществляет доступ в сеть
• Информация о геолокации

Should I care?

Действие COPPA распространяется не только на местные компании, но и на операторов иностранных сайтов, если они ведут дела с США и привлекают американских пользователей. Под удар попадают, например, мобильные приложения, игровые платформы, плагины, рекламные сети.

При этом Федеральная торговая комиссия (FTC), отвечающая за надзор за исполнением закона, делает различия между сайтами, направленными на детей, и сайтами с «широкой аудиторией». Последние должны следовать COPPA лишь случае, когда им известно, что определенной доле их посетителей не исполнилось 13 лет.

Ирония заключается в том, что целевая аудитория сайта или мобильного приложения для FTC значения не имеет. Важно лишь то, кто на самом деле этот сайт посещает, и какие данные о посетителях сайтом фиксируются.Читать полностью »

Поданы жалобы на европейские подразделения Apple, Facebook, Microsoft, Yahoo, SkypeДва года назад студент юридического факультета Венского университета Макс Шремс (Max Schrems) начал неравный бой с компанией Facebook. Он отправил десятки жалоб и запросов по каждому пункту функциональности сайта, нарушающей европейское законодательство. Это стало возможным только по той причине, что Facebook в 2009 году открыл штаб-квартиру Facebook Ireland Ltd в Дублине для уклонения от уплаты налогов в США. Так же поступают и другие корпорации. С этого момента каждая из них подпадает под европейское законодательство о защите информации, которое жёстче, чем в США.

В 2011-2012 году активность студента привела к аудиту (обыску) офиса Facebook в Дублине комиссарами ЕС по защите персональных данных. В итоге, социальная сеть была вынуждена изменить некоторые принципы работы в Европе.

Вскрывшиеся факты сотрудничества интернет-компаний с Агентством национальной безопасности США по программе PRISM — основание для начала нового разбирательства на территории ЕС. Хотя штаб-квартиры компаний зарегистрированы в США, и выемка данных тоже происходила в США, но благодаря особенностям европейского законодательства есть зацепки, как можно уличить эти компании в нарушении европейских законов о защите персональных данных.
Читать полностью »

Вот вышли новые требования ФСТЭК России приказом №21 по части защиты перcональных данных.

Решили его применить на Заказчике (уже даже в голове говорю себе о них всегда с большой буквы), у него инфраструктура на VMware. Но вот на какое требование указала мне коллега: «Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных». Требование работает для УЗ 1, УЗ 2 и УЗ 3. Т.е. широта охвата, наверное, будет нормальная.
Как требование ложится на согласование дейстий в VMware vSphere? Добро пожаловать под хабракат.

Читать полностью »

Вступление

Всем доброго времени суток! В этой статье я хотел бы еще раз поднять тему защиты персональных данных (далее будем обзывать их — ПДн), а также тему защиты от регуляторов. Пик дебатов на тему защиты ПДн давно прошел. Приходились эти пики как правило на приближение очередного «самого последнего срока» ввода 152-ФЗ в полную силу. В итоге «самый последний срок» наступил, активные дебаты стихли, но закон «О персональных данных» живет, регуляторы устраивают проверки и наказывают нарушителей. Поэтому тема будет еще долго актуальна.

Сразу оговорюсь, что в этой статье в основном будет информация организационного характера, нежели техническая. «А зачем такая информация нужна нам?» — спросит читатель хабра. Объясняю: так уж получилось, что начальники как крупных, так и не очень организаций не любят выстраивать длинные логические цепочки и вникать в суть вопроса, который лежит далеко от их компетенции. Поэтому при возникновении необходимости обеспечения защиты персональных данных строится вполне логичная по их мнению взаимосвязь: «Защита персональных данных» -> «Защита информации» -> «Информационные технологии» -> «Взвалить вопрос защиты ПДн на IT-шников». И пофигу, что в этом вопросе львиную долю можно поручить юристам и кадровикам, но как говорится в бородатом анекдоте: «кому не нравится грузить люминь, пойдет грузить чугуний».

image
Типичный пример разглашения ПДн специальной категории (сведения об интимной жизни)

Читать полностью »

Способ выполнить требования 152 ФЗ №1: Системный интегратор

Многие не знают, что есть несколько способов выполнить требования закона №152-ФЗ «О персональных данных». Все они различаются порой кардинальным образом: стоимостью, сложностью и временем реализации.

Один из специалистов нашей команды Б-152 решил поведать вам о первом способе: обращении к системному интегратору и работе с ним.
Читать полностью »

Уважаемые коллеги.
Давайте с вами не много пофантазируем.
Вы давно и успешно занимаетесь поддержкой IT инфраструктуры небольших компаний.
Метод ведения бизнеса — фриланс.
Все хорошо, до какого-то момента.
Но в один не прекрасный момент, при заключение казалось бы 100% договора, вам отказывают, не объясняя причину.
Если это происходит один раз, это нормально. Два — некая погрешность. В 5 раз начинаешь задумываться и задовать вопрос, на который получишь весьма неожиданный ответ.
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js