Задать вопрос
Специалист по защите информации.
Консалтинг в области ИБ.
Контакты

Достижения

Все достижения (3)

Наибольший вклад в теги

Все теги (19)

Лучшие ответы пользователя

Все ответы (32)
  • Правомерен ли отказ в удалении персональных данных?

    Вы всегда можете отозвать свое согласие на обработку ПДн. Это ваше право закрепленное 152-ФЗ.
    п2. ст.9 Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.

    При этом даже после отзыва согласия, оператор имеет право продолжить обработку ваших ПДн. Но только в конкретных случаях опеределенных законом. Никакие внутренние правила безопасности вас не должны волновать. В вашем случае они могут сослаться на основание обработки указаное в параграфе 2) п.1 ст.6:
    обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

    Здесь в частности они могут сослаться, что они продолжат обрабатывать ваши ПДн в соответствии с Налоговым кодексом, сроками хранения бухгалтерской документации, ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" и т.д.
    Но при этом они обязаны удалить ваш аккаунт, так вы разрываете с ними договор и отзываете согласие. И сделать это они должны в соответствии с п.5 ст.21
    В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

    Таким образом формулировка отказа об удалении ПДн указанная в ответе вам не имеет под собой законных оснований. Вы можете писать им новый запрос-требование об удалении, но я думаю в итоге они подготовят корректный ответ вам, а может этот ответ спокойно приложить его к жалобе в РКН, который возможно и научит их.
    В обращении в РКН еще обратите внимание регулятора, что этот Walletone так же нарушает требования
    п.2 ст. 18.1 152-ФЗ:
    Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
    Ответ написан
    Комментировать
  • Небезопасное соединение с фриланс сайтом. Ненадежный сертификат SHA-1?

    Как уже сказал Алексей POS_troi соединение с сайтом сделал "ненадежным" именно Avast.
    Avast перехватывать весь ваш трафик для поиска вредоносного кода. Однако его анализ для сервисов, использующих SSL-шифрование не предоставляется возможным.
    Avast просто стоит и со стороны наблюдает за зашифрованным трафиком без возможности его проверки.
    54ce74ca0a1e45b3b78007459ea85d02.png
    Но ему же хочется вас защитить:)
    Так как контролировать защищённое соединение у Avast не получается, то он устанавливает два разных соединения: одно между вами и Avast (который в данном случае притворяется сервером), и второе между Avast и сайтом.
    99974621679d456398ec4cce55c1e5ae.png
    Браузер же видит, что кто-то влез между вами и "ругается" на это. Это и называется MITM (Man in the middle)
    В настройках контроль HTTPS отключается по вкладкам "Веб-экран" - "сканирование HTTPS трафика".
    Если вы его отключите Avast, то увидите, что браузер перестанет "ругаться":
    e9c7debbc56142619ed37ce5c7f3eaa6.JPG
    Ответ написан
    1 комментарий
  • Логин и email - это персональные данные?

    Открываем 152-ФЗ
    Статья 3. Основные понятия
    персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

    Исходя из формулировки ваш набор данных можно подвести под ПДн.
    Идем дальше:
    Статья 5. Принципы обработки персональных данных
    1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
    2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
    3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
    4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
    5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
    6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
    7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

    А теперь ответьте на вопросы:
    1. Какая цель обработки ПДн у вас?
    2. Для чего при достижении вашей цели обработки вам нужна дата рождения, социальный статус, пол клиентов?
    Если вы уберете дату рождения, социальный статус, пол клиентов, то я уверен, что функциональности вашего проекта это не повредит, но ваш проект с точки зрения 152-ФЗ будет чище.
    Ответ написан
    Комментировать
  • Как организовать защиту персональных данных для медицинской информационной системы?

    Класов сейчас нет. К1 это устаревшая классификация.
    Изучайте Постановление Правительства №1119 и определяйте требуемый уровень защищенности (УЗ).
    При определении УЗ считайте, что для вас неактуальны угрозы 1-ого и 2-ого типа (недекларируемые возможности в системном и прикладном ПО) иначе требования к средсвам защиты информации у вас будут жесткие.
    По шифрованию читайте приказ ФСБ №378
    Меры описаны в 21 приказе ФСТЭК. От сертифицированных решений вам будет уйти сложно, тем более если вы будете предлагать это как услугу.
    Учтите, что для установки сертифицированных СКЗИ необхожима лицензия ФСБ, в вашем случае необходимо будет приглашать лицензианта.
    Вообще тема создания СЗПДн сложная и объемная, приходится идти на компромиссы между функциалом и выполнением закона.
    Ответ написан
    Комментировать
  • Есть ли какие-то требования к паролю по закону о персональных данных?

    Не смотря на то что в самом законе 152-ФЗ об этом и правда нет таких требований, сам закон существует не один, и как уже написал @OLS, есть Приказы №21 (для защиты ПДн) и №17 (для ГИС), где указываются общие меры защиты защиты без конкретики.
    В феврале 2014 ФСТЭК выпустил методичку "Меры защиты информации в государственных информационных системах" fstec.ru/tekhnicheskaya-zashchita-informatsii/doku... , где расписывает как он видит выполнение каждой из мер. (Т.к. меры в 21 и 17 приказе практически идентичны, то данную методичку можно использовать и для защиты ПДн)
    Таким образом для минимального четвертого уровня защищенности ПДн, "в случае использования в ИС механизмов аутентификации на основе пароля (иной последовательности символов, используемой для аутентификации) или применения пароля в качестве одного из факторов многофакторной аутентификации, его характеристики должны быть следующими:
    • длина пароля не менее 6 символов
    • алфавит пароля не менее 30 символов
    • максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 10 попыток
    • блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 3 до 15 минут
    • смена паролей не более чем через 180 дней"(с)
    Ответ написан
    1 комментарий

Лучшие вопросы пользователя

Все вопросы (2)