Архив рубрики: Защита персональных данных

Все что связано с защитой персональных данных в соответствии с федеральным законом № 152-ФЗ «О персональных данных». Подготовка к проверкам Роскомнадзора, ФСТЭК, ФСБ.

Почему отсутствие новой методики моделирования угроз от ФСТЭК это проблема?

Весной (уже далекого) 2015 года для общего доступа был опубликован проект новой методики определения угроз безопасности информации в информационных системах. Уже тогда многие специалисты обрадовались факту разработки ФСТЭКом такого документа, потому что даже 2 года назад было понятно, что старая связка документов «Методика определения…» и «Базовая модель угроз…» мягко говоря, слегка устарели. Но, несмотря на… Читать далее »

ФСТЭК опубликовал требования к операционным системам

На самом деле ФСТЭК опубликовал не сами требования, а небольшую выжимку из них. Сам документ судя по всему грифован и предоставляется по запросу. Если коротко пройтись по информационному сообщению: требования устанавливаются для операционных систем, которые используются как СЗИ (то есть если вы все требования закрываете надстроенными СЗИ, то закупать еще и сертифицированные операционные системы не… Читать далее »

Нужно ли медицинским учреждениям собирать согласия с пациентов на обработку их персональных данных?

Этой заметкой хотелось завершить цикл статей, связанных с защитой персональных данных, Роскомнадзором и прочим с этим связанным. Думаю, что в цикле статей по подготовке к проверкам, и в руководстве по заполнению уведомления тему более менее раскрыл. Дальше буду писать на эту тему при появлении какой-нибудь новой информации или если возникнет интересная идея для статьи. По вопросу,… Читать далее »

Руководство по заполнению уведомления оператора персональных данных

  В третьей части цикла статей, посвященных подготовке к проверкам Роскомнадзора по выполнению требований законодательства «О персональных данных» я рассказал о важности правильного заполнения уведомления, о случаях когда уведомление нужно заполнять и там же пообещал подробнее рассказать о том, как заполнять каждое поле уведомления. Собственно, эта статья как раз и является тем самым туториалом по… Читать далее »

Немного об обучении по информационной безопасности

В разгар лета, отпусков и вылазок к морю совсем не хочется писать в блоге аналитику или туториалы. Но внезапно захотелось написать об актуальном нынче вопросе — образовании в сфере информационной безопасности. Об этом сейчас говорят много — ФСТЭК планирует ввести целый раздел с мерами, связанными с обучением и информированием персонала по вопросам ИБ, в новую… Читать далее »

Мечтают ли технические паспорта об электрочайниках?

  В этой заметке поговорим о чайниках и микроволновках, но речь пойдет не об интернете вещей, как может показаться на первый взгляд, а о некоторых нюансах составления технического паспорта.

Проверки ФСТЭК: от номинальной защиты к практической

У меня была заготовлена идея поста про типовые нарушения, выявляемые в государственных информационных системах ФСТЭКом в ходе проверок. Но тут у меня в руках оказалось свежее заключение с одной из последних проверок. И я бы не стал писать этот пост, если бы в выявленных нарушениях значились бы уже набившие оскомину: использование несертифицированных СЗИ (в том… Читать далее »

Как мы защищали медицину всей Камчатки

Опубликовал на Geektimes большой пост об одном большом проекте. Поскольку правила ресурса не позволяют копировать статьи даже в собственный блог, дам здесь ссылку. Приятного чтения.

Готовимся к проверкам РКН по персональным данным. Часть 5. Подготовка документов (продолжение)

Итак, последний вопрос, который осталось рассмотреть это плюсы и минусы в разных подходах по реализации организационной части требований законодательства по защите персональных данных. Если вы решили сделать все своими силами, то, как уже было сказано в предыдущей части, можно оттолкнуться от шаблонов документов, представленных в архиве. Я тут не буду подробно описывать нюансы заполнения каждого… Читать далее »

Готовимся к проверкам РКН по персональным данным. Часть 4. Подготовка документов

Во второй части этого цикла статей уже было сказано, что основным массивом данных, который мы должны предоставить проверяющим из РКН — это комплект внутренней документации организации по защите персональных данных. У всех, кто первый раз сталкивается с вопросом подготовки такого комплекта документов сразу возникает ряд вопросов: каким должен быть состав документов и их содержание? где… Читать далее »