• Имеет ли смысл приобретать более одного дистрибутива СКЗИ на организацию?

    В случае если КриптоПро CSP у вас используется как сертифицированное СКЗИ, важно чтобы оно было установлено с эталонного носителя информации имеющего формуляр.
    Если у вас все дистрибутивы одинаковые это в общем-то лишнее, но с другой стороны дистрибутив КриптоПро с формуляром стоит около 500р и возможно при закупке решили взять полные комплекты для удобства.
    Ответ написан
    Комментировать
  • Как подготовиться к проверке ФСТЭК по защите информации?

    @Koshelenok Если не секрет, как прошла проверка?
    Ответ написан
    Комментировать
  • Можно ли собирать персональные данные пользователей Facebook?

    Пишите в пользовательском соглашении, что-то вроде:
    Приложение обрабатывает персональные данные Пользователя в целях предоставления Пользователю доступа к приложению/сайту, в том числе, в целях анализа таких данных, позволяющих поддерживать и улучшать сервисы и разделы приложения, а также разрабатывать новые сервисы и разделы Сайта.

    Прямо пишите, что вы будете делать с данными, все с чем пользователь согласился вы можете делать.
    Ну и добавьте раздел, что вы принимает все необходимые меры для защиты персональных данных от неправомерного доступа, изменения, раскрытия или уничтожения. Бла-бла...
    Так же посмотрите сюда Получение данных из социальной сети и ФЗ «О персональных данных» возможны проблемы? Здесь на случай если решите собирать данные из соцсети без участия пользователя.
    Ответ написан
    Комментировать
  • Получение данных из социальной сети и ФЗ "О персональных данных" возможны проблемы?

    Суть 152-ФЗ и позиция регулятора при проверках в том, чтобы обработка персональных данных соответствовала целям, ради которых эта ПДн были переданы пользователем.
    С точки зрения 152-ФЗ, пользователь дал согласие на обработку своих ПДн для предоставления ему услуг по работе с социальной сетью при регистрации и согласии с Пользовательским соглашением.
    Вам он согласия на обработку ПДн не давал.
    Для того чтобы вам на законных основаниях обрабатывать ПДн есть ограниченный перечень условий обработки описанный в статье 6 152-ФЗ.:
    1. согласие субъекта
    2. выполнение международных договоров
    3. в целях правосудие
    4. исполнение полномочий федеральных органов
    5. выполнение договора с субъектом
    6. защита жизни субъекта
    7. законные интересы оператора
    8. профессиональная деятельность СМИ и т.д.
    9. статистические исследования
    10. обработка общедоступных данных
    11. обработка данных подлежащих обязательному опубликованию

    Здесь некоторые ошибочно считают, что пользователь зарегистрировавшись в социальной сети сделал свои данные общедоступные. Но это не так.
    Во-первых, как делаются данные общедоступными описано в статье 8 152-ФЗ:
    В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

    Вконтакте не берет письменного согласия пользователей, и указывает в целях сбора и обработки ПДн, не организацию общедоступности, а предоставлению пользователю услуг соцсети.
    Таким образом у вас нет законных оснований обрабатывать персональные данные полученные из соцсети.
    Персональные я выделил специально, так как если вы будете это у себя в проекте использовать только логин пользователя, то можно будет обосновать, что это не персональные данные, а обезличенные и по ним
    невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных
    Ответ написан
    Комментировать
  • Найти журнал "Директор по безопасности" в электронном виде

    Директор по безопасности, к сожалению статьи дает только по подписке.
    В свободном доступе только если читать отдельные статьи (в основном главные темы номера) из Архива
    Я по работе пишу в "Директор по безопасности" статьи, но сам журнал (или его электронную версию) так и не видел.
    Ответ написан
    Комментировать
  • Согласие на обработку песональных данных для магазина, нужно ли вставлять галочку и договором?

    Начнем с того, что упоминаемой @Kaaboeld лицензии на хранение и обработку ПДн у нас в стране нет ( и даже никаких близких понятий нет).
    Дальше вам действительно стоит ознакомиться с ФЗ-152.
    У вас в интернет-магазине скорей всего обрабатывается примерно такой набор:
    1. ФИО
    2. Адрес доставки
    3. Контактный номер телефона
    4. E-mail
    5. ...
    Пошли дальше по 152-ФЗ:
    ваш случай для обработки персональных данных описан в п.1 5) Статьи 6
    обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

    По поводу согласия написано в статье 9:
    Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.


    Таким образом вы можете сделать как вам будет удобнее или внести в договор-оферту на сайте раздел про согласие субъекта или сделать отдельную галочку при регистрации.

    Если вы не осуществляете никакой доставки, то вам можно упростить жизнь, описав что вы обрабатываете обезличенные данные (по которым невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных).
    1. Логин (вместо ФИО)
    2. e-mail

    Вообще выполнение требований 152-ФЗ, это не только согласие, а ещё выполнение ряда технических и организационных мер описанных в первую очередь в самом 152-ФЗ, Постановлении правительства №1119, Приказе ФСТЭК №21.
    Понимаю, что для обычного интернет-магазина все эти меры являются только дополнительными проблемами, и советую вам как минимум выполнить требование п.2 статьи 18.1 и опубликовать на сайте Политику в отношении обработки персональных данных. Образцы вы можете посмотреть в интернете.
    Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
    Ответ написан
    3 комментария
  • Можно ли хранить зашифрованный дамп базы с персональными данными на незащищенном хранилище в интернете?

    Можно, но для защиты от регуляторов надо аккуратно написать документы и передавать в облако уже зашифрованный контейнер, чтобы данные не шли по сети без защиты
    Главным документом для вас будет являть Модель угроз и Модель нарушителя, где вы рассматриваете ваш дамп как отдельную ИСПДн.
    1. В Модели нарушителя исключаете всякие спецразведки и т.д., и признаёте актуальными нарушителей только класса Н1 (по классификации ФСБ, это внешний нарушитель, действующий без помощи изнутри).
    2. При определении актуальных угроз по Постановлению Правительства 1119 принимаете для себя неактуальными угрозы 1-ого и 2-ого типа (угрозы недекларируемых возможностей системном и прикладном ПО).
    3. В Модели угроз указываете, что обеспечение для обеспечения конфиденциальности вы используете сертифицированное СКЗИ класса КС1. По мнению наших регуляторов ГОСТ является единственным нерушимым средством обеспечения конфиденциальности, так что передача такого контейнера безопасна.
    Ну и заодно выполняете требования приказов ФСТЭК №21 и ФСБ №378.
    Надо конечно смотреть внимательнее на вашу систему, на вариант вполне реальный.
    Ответ написан
    3 комментария
  • Какие курсы посмотреть по PKI (Public Key Infrastructure)?

    Для общего понимания мне помог курс ИНТУИТ Инфраструктуры открытых ключей
    Затем уже семинары/вебинары Крипто-про, которые они проводят периодически на бесплатной основе.
    Ответ написан
    Комментировать
  • WiFi по паспорту?

    к сожалению не все так безоблачно.
    В 758 Постановление Правительства( на которое вы сослались) наши "доблестные законописатели" уже успели внести очередные поправки в виде Постановления Правительства 801.
    Теперь "если вы юридическое лицо или ИП - отныне все (неважно, сотрудники или посетители), кто подключается к вашей беспроводной точке доступа или любому другому оборудованию, через которое он может получить доступ к сети Интернет - ВСЕ должны предоставить вам фамилию, имя, отчество (при наличии), место жительства, реквизиты основного документа, удостоверяющего личность; вы должны все это аккуратно собирать, обрабатывать и ежеквартально передавать оператору связи"(с) источник
    Ответ написан
    Комментировать
  • Интернет на предприятии. Провайдер требует паспортные данные всех сотрудников, использующих Интернет. Как действовать в данной ситуации?

    Действительно требование собирать ПДн пользователей сети Интернет теперь есть, и уже даже начались первые проверки выполнения данного закона.
    Однако, в вашем текущем договоре с оператором у вас наверняка не прописано требование такие данные собирать и передавать ему. Так что в данный момент отказывайтесь от предоставления ПДн работников, так как у вас на это нет оснований. В данный момент, пока провайдер вас не вынудил переоформить новый договор, где он пропишет вам такие требования это будет его головная боль.
    Советую ознакомиться с этими постами (а так же перекрестными ссылками)
    anvolkov.blogspot.ru/2014/09/blog-post_15.html#more
    lukatsky.blogspot.ru/2014/09/wi-fi-152.html
    Ответ написан
    Комментировать
  • Есть ли какие-то требования к паролю по закону о персональных данных?

    Не смотря на то что в самом законе 152-ФЗ об этом и правда нет таких требований, сам закон существует не один, и как уже написал @OLS, есть Приказы №21 (для защиты ПДн) и №17 (для ГИС), где указываются общие меры защиты защиты без конкретики.
    В феврале 2014 ФСТЭК выпустил методичку "Меры защиты информации в государственных информационных системах" fstec.ru/tekhnicheskaya-zashchita-informatsii/doku... , где расписывает как он видит выполнение каждой из мер. (Т.к. меры в 21 и 17 приказе практически идентичны, то данную методичку можно использовать и для защиты ПДн)
    Таким образом для минимального четвертого уровня защищенности ПДн, "в случае использования в ИС механизмов аутентификации на основе пароля (иной последовательности символов, используемой для аутентификации) или применения пароля в качестве одного из факторов многофакторной аутентификации, его характеристики должны быть следующими:
    • длина пароля не менее 6 символов
    • алфавит пароля не менее 30 символов
    • максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 10 попыток
    • блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 3 до 15 минут
    • смена паролей не более чем через 180 дней"(с)
    Ответ написан
    1 комментарий