• Могу ли я развернуть приложение в Azure если при регистрации требуется указать Имя, Фамилию и Email?

    Если смотреть по закону:
    1. Вы обрабатываете ПДн.
    1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

    2. Хранение в понятиях 152-ФЗ это тоже обработка:
    обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

    3. Исходя из того, что хранение это обработка, вы передаете ПДн третьим лицам(Azure).
    "3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона."

    4. Но так как:
    5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.

    Azure вам использовать нельзя.
    Иначе вашему сервису грозит блокировка на территории РФ.
    Это если по закону.
    Если по текущей ситуации, то как минимум обязательно опубликуйте политику в отношении обработки ПДн, сделайте галочку, что данные обрабатываются с согласия . Риск, что вас за Azure, да и обработку только "Имя, Фамилию и Email" прищучат минимальный.

    PS
    C 1 июля повышаются штрафы за нарушение 152-ФЗ. В частности отсутсвие Политики на сайте теперь до 30к. (см. новую редакцию статьи 13.11 КоАП)
    Ответ написан
    Комментировать
  • Небезопасное соединение с фриланс сайтом. Ненадежный сертификат SHA-1?

    Как уже сказал Алексей POS_troi соединение с сайтом сделал "ненадежным" именно Avast.
    Avast перехватывать весь ваш трафик для поиска вредоносного кода. Однако его анализ для сервисов, использующих SSL-шифрование не предоставляется возможным.
    Avast просто стоит и со стороны наблюдает за зашифрованным трафиком без возможности его проверки.
    54ce74ca0a1e45b3b78007459ea85d02.png
    Но ему же хочется вас защитить:)
    Так как контролировать защищённое соединение у Avast не получается, то он устанавливает два разных соединения: одно между вами и Avast (который в данном случае притворяется сервером), и второе между Avast и сайтом.
    99974621679d456398ec4cce55c1e5ae.png
    Браузер же видит, что кто-то влез между вами и "ругается" на это. Это и называется MITM (Man in the middle)
    В настройках контроль HTTPS отключается по вкладкам "Веб-экран" - "сканирование HTTPS трафика".
    Если вы его отключите Avast, то увидите, что браузер перестанет "ругаться":
    e9c7debbc56142619ed37ce5c7f3eaa6.JPG
    Ответ написан
    1 комментарий
  • Какие меры необходимо предпринять для защиты персональных данных в ЦОДе или в своей серверной?

    Защита ПДн с точки зрения закона и проверяющих это больше про бумагу, чем про технику.
    Как выше сказали вам надо прочитать: 152-ФЗ, 1119-ПП, 21 приказ ФСТЭК.
    Про УЗ-1 или УЗ-2 вы погорячились это точно, так как для этого вы должны определить для себя актуальными угрозы закладок в прикладном/системном ПО, а добровольно такое никто не делает, так как это приводит к лишним проблемам в ходе построения системы защиты.
    Все определяют для себя 3-й тип актуальных угроз, что в итоге дает для 99% ИСПДн 3-ий или 4-ый УЗ. (УЗ-2 выйдет у вас только в случае если вы обрабатываете специальную категорию больше 100 тысяч субъектов, что маловероятно).
    PS Могу сделать СЗПДн под ключ после уточнения всех подробностей вашей системы. (контакты в профиле)
    Ответ написан
    Комментировать
  • Систематизировать знание в области ИБ, как?

    Для изучения СУИБ и знакомством с чек-листом изучайте ISO2700x
    Можете пройти бесплатный курс по 27001
    Ответ написан
    Комментировать
  • Есть ли хорошие конференции по безопасности для разработчиков?

    Посмотрите сюда risc.events
    Ответ написан
    Комментировать
  • Существуют ли технические требования к информационным системам для гос учереждений?

    Если это госучереждение, то вам надо читать 17-ый приказ ФСТЭК "Об утверждении Требований о за....
    Для примерной оценки мер, которые должны быть в вашей системе смотрите Приложение 2 к этому приказу и столбец со вторым классом защищенности информационной системы.
    Так же не забывайте, что вам придется делать аттестацию (см. п.17 приказа).
    Все реально, но геморно.
    Ответ написан
    Комментировать
  • Какие современные методы и средства анализа и управления рисками информационных систем компаний сейчас существуют?

    Из свежих сталкивался с Risk Manager от R-vision https://rvision.pro/modules/risk_manager/
    Из старых РискМенеджер от Института системного анализа РАН www.srisks.ru
    Ответ написан
    Комментировать
  • Где Вы получаете новости по ИБ?

    Есть такой агрегатор risc.expert , но тут скорее для бумажных безопасников.
    Ответ написан
    Комментировать
  • Где найти шаблон для политики конфиденциальности и условий соглашения?

    Альбина: Помимо согласия на обработку ПДн, не забудьте, что по закону вы обязаны опубликовать "Политику в отношении обработки ПДн" (ст.18.1 152-ФЗ)
    Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

    Содержание такой политики законом не регламентируется, но в ней стоит описать:
    1. Принципы обработки ПДн. (ст.5 152-ФЗ, и ст.7 152-ФЗ).
    2. Условия и цели обработки. (Указать условия обработки/правовое основание обработки из ст. 6 152-ФЗ, и в общих понятиях описать цели обработки ПДн)
    3. Общее описание обработки ПДн. (обработка с использованием средств автоматизации и без неё, трансграничная передача ПДн (ст.12 152-ФЗ), специальные категории (ст.10 152-ФЗ) и биометрические ПДн (ст.11 152-ФЗ)).
    4. Сроки обработки ПДн и порядок прекращения обработки.
    5.Меры в области обработки и защиты ПДн. (меры, определенные в статьях 18.1 и 19 152-ФЗ.)
    6. Права субъекта ПДн. (права субъекта ПДн на доступ к информации и правила подачи запросов, определенные в 152-ФЗ)
    А остальные положения о конфиденциальности, пользовательские соглашения это уже на ваше усмотрение.
    Ответ написан
    Комментировать
  • Соответствует ли облако Microsoft Azure приказу ФСТЭК России от 18 февраля 2013 г. N 21 г.?

    Агенство Михаила Емельянникова в прошлом году готовило большое заключение о возможности использования Microsoft A... и содержания основных мероприятий, необходимых для достижения соответствия требованиям законодательства в сфере ПДн.
    Это заключение было подготовлено ещё до вступления 242-ФЗ с требованиями об организации сбора ПДн на территории РФ, но все равно полезно для изучения.
    Ответ написан
    Комментировать
  • Как ограничить доступ к информации на ноутбуке находящемся вне контролируемой зоны?

    @hokop Автор вопроса
    Всем спасибо. Пообщался с Аладином. Говорят, что в SecretDisk версии Enterprise, существует возможность запрета работы пользователей с зашифрованными ресурсами без онлайн‐подключения к серверу управления. Таким вне корпоративной сети разделы нельзя будет открыть даже легитимным пользователям. Будем пробовать.
    Ответ написан
    Комментировать
  • Какие существуют системы, сертифицированные ФСТЭК, в соотвествии с приказом № 31?

    Обязательной сертификации СЗИ в 31 приказе нет. Есть обязательна оценка соответствия, это следствие того, что не для всех промышленных процессов существуют сертифицированные решения.
    11. В автоматизированной системе управления применяются средства защиты информации, прошедшие оценку соответствия в соответствии с законодательством Российской Федерации о техническом регулировании.

    Если же вы применяете сертифицированные СЗИ, то никакой отдельной линии по сертификации для АСУ ТП нет. Используйте Государственный реестр СЗИ , и требования к классам защиты из 24 пункта 31 приказа.
    ФСТЭК это разъяснял в своем информационном сообщении
    3. По вопросам применения в автоматизированных системах управления производственными и технологическими процессами средств защиты информации.
    В соответствии с пунктом 11 Требований, утвержденных приказом ФСТЭК России от 14 марта 2014 г. N 31, в автоматизированных системах управления производственными и технологическими процессами применяются средства защиты информации, прошедшие оценку соответствия в соответствии с законодательством Российской Федерации о техническом регулировании.
    При этом формы оценки соответствия средств защиты информации установлены частью 3 статьи 7 Федерального закона от 27 декабря 2002 г. N 184-ФЗ «О техническом регулировании» (испытания, подтверждение соответствия (обязательная сертификация, добровольная сертификация, декларирование соответствия), приемка и ввод в эксплуатацию, иные формы).
    В соответствии с пунктом 13 Требований, утвержденных приказом ФСТЭК России от 14 марта 2014 г. N 31, требования к защите информации в автоматизированной системе управления производственными и технологическими процессами устанавливаются заказчиком и включаются в техническое задание на создание (модернизацию) автоматизированной системы управления и (или) техническое задание (частное техническое задание) на создание системы защиты автоматизированной системы управления.
    Таким образом, в автоматизированной системе управления применяются средства защиты информации, прошедшие оценку соответствия в форме, установленной заказчиком в техническом задании в соответствии с Федеральным законом «О техническом регулировании».
    При этом пунктом 24 Требований, утвержденных приказом ФСТЭК России от 14 марта 2014 г. N 31, установлены классы средств защиты информации, применяемые в автоматизированной системе управления производственными и технологическим процессами, в случае если заказчиком принято решение об использовании средств защиты информации, прошедших оценку соответствии в форме обязательной сертификации.
    Ответ написан
    Комментировать
  • Логин и email - это персональные данные?

    Открываем 152-ФЗ
    Статья 3. Основные понятия
    персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

    Исходя из формулировки ваш набор данных можно подвести под ПДн.
    Идем дальше:
    Статья 5. Принципы обработки персональных данных
    1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
    2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
    3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
    4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
    5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
    6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
    7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

    А теперь ответьте на вопросы:
    1. Какая цель обработки ПДн у вас?
    2. Для чего при достижении вашей цели обработки вам нужна дата рождения, социальный статус, пол клиентов?
    Если вы уберете дату рождения, социальный статус, пол клиентов, то я уверен, что функциональности вашего проекта это не повредит, но ваш проект с точки зрения 152-ФЗ будет чище.
    Ответ написан
    Комментировать
  • Необходимо получить лицензию на обработку персональных данных?

    "Лицензии на обработку персональных данных" нет и никогда не было.
    Начиная обработку ПДн вы становитесь "Оператором", ваши пользователи "субъекты ПДн"
    Читайте 152-Федеральный закон, как основополагающий.
    Постановление правительства №1119, чтобы определить какой уровень защищенности ПДн вам необходимо обеспечить
    Приказ ФСТЭК "№21, чтобы понять какие меры (помимо описанных в 152-ФЗ и ПП-1119) вам надо применять.
    Начиная работать с шифрованием вам надо изучить приказ ФСБ №378
    Ответ написан
    Комментировать
  • Где и как хостить сайт с хранением персональных данных пользователей?

    С 1 сентября 2015 года по 242-ФЗ
    При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации

    иначе попадаете в "Реестр нарушителей прав субъектов персональных данных" и доступ к вашему сайту на территории России блокируется провайдерами.
    Это если коротко и по закону.
    Есть различные мнения как можно играть с формулировками и пытаться обойти, но все это может привести к блокировке вашего ресурса. Так что если проект разрабатывается с нуля, то рекомендую использовать БД в России сразу.
    Опять же если планируется крупный проект, то стоит задуматься о соответсвии хостинга требованиям 152-ФЗ.
    Сертифицированный межсетевой экран на границе, ограничение доступа к оборудованию (как вариант, стойка на замке) и т.д. Например, у паркинг.ру есть предложения.
    Ответ написан
    1 комментарий
  • Как организовать защиту персональных данных для медицинской информационной системы?

    Класов сейчас нет. К1 это устаревшая классификация.
    Изучайте Постановление Правительства №1119 и определяйте требуемый уровень защищенности (УЗ).
    При определении УЗ считайте, что для вас неактуальны угрозы 1-ого и 2-ого типа (недекларируемые возможности в системном и прикладном ПО) иначе требования к средсвам защиты информации у вас будут жесткие.
    По шифрованию читайте приказ ФСБ №378
    Меры описаны в 21 приказе ФСТЭК. От сертифицированных решений вам будет уйти сложно, тем более если вы будете предлагать это как услугу.
    Учтите, что для установки сертифицированных СКЗИ необхожима лицензия ФСБ, в вашем случае необходимо будет приглашать лицензианта.
    Вообще тема создания СЗПДн сложная и объемная, приходится идти на компромиссы между функциалом и выполнением закона.
    Ответ написан
    Комментировать
  • Анализ трафика skype и логирование сообщений, как это сделать?

    Для этого нужна DLP-система, и стоят они не от полумилиона долларов это уж точно.
    Для общего ознакомления: habrahabr.ru/post/141000
    www.anti-malware.ru/comparisons/data_leak_protecti...
    OpenSorce решений умеющих анализировать скайп вроде как нет.
    Ответ написан
    5 комментариев
  • Правомерен ли отказ в удалении персональных данных?

    Вы всегда можете отозвать свое согласие на обработку ПДн. Это ваше право закрепленное 152-ФЗ.
    п2. ст.9 Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.

    При этом даже после отзыва согласия, оператор имеет право продолжить обработку ваших ПДн. Но только в конкретных случаях опеределенных законом. Никакие внутренние правила безопасности вас не должны волновать. В вашем случае они могут сослаться на основание обработки указаное в параграфе 2) п.1 ст.6:
    обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

    Здесь в частности они могут сослаться, что они продолжат обрабатывать ваши ПДн в соответствии с Налоговым кодексом, сроками хранения бухгалтерской документации, ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" и т.д.
    Но при этом они обязаны удалить ваш аккаунт, так вы разрываете с ними договор и отзываете согласие. И сделать это они должны в соответствии с п.5 ст.21
    В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

    Таким образом формулировка отказа об удалении ПДн указанная в ответе вам не имеет под собой законных оснований. Вы можете писать им новый запрос-требование об удалении, но я думаю в итоге они подготовят корректный ответ вам, а может этот ответ спокойно приложить его к жалобе в РКН, который возможно и научит их.
    В обращении в РКН еще обратите внимание регулятора, что этот Walletone так же нарушает требования
    п.2 ст. 18.1 152-ФЗ:
    Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
    Ответ написан
    Комментировать