О том, как субъект ПДн права защищал (часть 1а)

Ранее я написал о нарушениях в части обеспечения защиты персональных данных в ЗАО "ДжиИ Мани Банк". Сам оператор никак не отреагировал на мое письмо, но Роскомнадзор его, как и положено, не проигнорировал:

читать далее...

О том, как субъект ПДн права защищал (часть 2)

Продолжаю тематику постов о попытках отстоять свои права согласно 152-ФЗ.

Второе письмо в Роскомнадзор:

читать далее...

К вопросу по ИБ и ЗИ

В последнее время в блогах коллег было много постов на тему "ИБ неравно ЗИ". Решил высказать и свою точку зрения по этому вопросу.

читать далее...

О том, как субъект ПДн права защищал (часть 1)

Постоянно контактируя с различными операторами ПДн в качестве субъекта начинаешь невольно замечать различные нарушения 152-ФЗ в действиях как сотрудников, так и операторов в целом. В связи с этим я решил "переметнуться" на сторону субъекта и начать отстаивать свои, да и не только свои, права. Посмотрим, что из этого получится.

читать далее...

ИСПДн, отнесенные к компетенции ФСБ

Согласно п. 2.4. Методических рекомендаций ФСБ по обеспечению с помощью криптосредств безопасности персональных данных:
"При обеспечении безопасности персональных данных при обработке в информационных системах, отнесенных к компетенции ФСБ России, модели угроз формируются только на основании настоящих Методических рекомендаций".

Собственно, я и задался вопросом: а какие именно ИСПДн относятся к компетенции ФСБ?

читать далее...

Недоработки форм технических паспортов в СТР-К

В данном посте я не буду рассматривать морально устаревший документ ФСТЭКа по каким-либо разделам, а рассмотрю только формы технических паспортов на защищаемые помещения и автоматизированные системы, обрабатывающие конфиденциальную информацию.

читать далее...

Расчет расходов на получение лицензии на ТЗКИ без приобретения аппаратуры

Ранее мной опубликован расчет расходов на получении лицензии на ТЗКИ в заведомо неудобных условиях. Были некоторые споры по поводу полученной суммы и учета различных факторов. Дополнить картину я решил информацией с другого угла, а именно расчетом расходов на получение лицензии на ТЗКИ без приобретения аппаратуры для формального исполнения требований в части наличия лицензии на ТЗКИ для "собственных нужд".
Расчет базируется на моем предыдущем посте.

читать далее...

Рабочий метод "кнута и палки"?

В статье на CNews.ru зацепила глаз позиция главы Минкомсвязи Игоря Щеголева: 

Помимо законодательной базы значительную роль в переходе госорганов на электронное взаимодействие играет "политическое давление", отмечает глава Минкомсвязи.

"Я был в Париже, где общался с коллегами из Cisco, и мы им рассказывали, что у нас заработала СМЭВ. Они не верят, говорят - у нас в Америке главная проблема - заставить ведомства обмениваться между собой...Я думал, это чисто российская проблема, но на самом деле, это везде…В России смогли отстроить такую модель, которую не удалось создать Америке".

читать далее...

Расчет расходов на получение лицензии на ТЗКИ в "хардкорных" условиях

В блоге Алексея Волкова опубликован пост по поводу стоимости получения лицензии на ТЗКИ с учетом покупки аппаратуры. Озвучено было 3,5 миллиона рублей. Сумма выглядит явно завышенной, поэтому стало интересно рассчитать реальные расходы на получение лицензии на ТЗКИ в "хардкорных" условиях.

читать далее...

Перечень документов для специальной ИСПДн без СКЗИ

Подготовил перечень документов для обеспечения защиты персональных данных в специальной(ых) ИСПДн без использования СКЗИ. Перечень делал на основании еще действующих подзаконников с учетом предельной полноты. Считаю, что комплект документов должен быть разработан подробно и в объеме, достаточном для ознакомления и полного понимания системы защиты информации сторонним специалистом, допущенным к этим документам. Ряд документов в перечне присутствует опционально, в зависимости от самой ИСПДн.

читать далее...

Как заработать на "рыбе" в ИБ

В свое время один из специалистов, ранее работавший в ФСТЭК, сказал: "Рыбы - главная проблема защиты информации в России". Сложно с ним согласиться, так как главной проблемой считаю законодательство в области информационной безопасности, но доля правды в его словах есть. Нет, не имею ничего против применения "рыб" при разработке документации, но в качестве справочного материала или образца, не более. Зачем изобретать велосипед при разработке шаблона или типового решения? Только вот на любую "рыбу" нужно "накрутить" свое "мясо" и определенного "сорта". А для типового решения проверить основную нестатичную информацию.

читать далее...

INFOBEZ-EXPO: Круглый стол "Практика правоприменения закона о персональных данных"

С 4 по 6 октября проходила выставка INFOBEZ-EXPO. Актуальным для меня мероприятием на выставке было проведение круглого стола "Практика правоприменения закона о персональных данных". В данный момент этот вопрос стоит очень остро у многих специалистов в сфере ИБ, в том числе и у меня. Собственно это и было целью посещения выставки. Самым заманчивым в программе круглого стола был пункт "Проверка Роскомнадзора глазами проверяемых и проверяющих". Но ожидание крупной дискуссии было омрачено пустующими местами с табличками "ФСБ", "ФСТЭК", "Роскомнадзор" - никто из регуляторов не появился. Тем не менее, обсуждение оказалось довольно интересным, а времени, отведенного на мероприятие, хватило с трудом. Если бы присутствовали представители регуляторов, то круглый стол по времени пришлось бы как минимум удваивать.

Обсуждение в течение двух часов было довольно активным, отмечу те моменты, которые мне показались особенно интересными:

читать далее...