Задать вопрос
  • Как продвинуть сервис?

    У Вас в "О проекте" пара опечаток:

    "Данный проект создан с целью сделать сервис доставки посылок из зарубежных интернет магазинов в страны бывшего СССР немного удобнее, дешевле, безопаснее, с человеческим отношением и новым подходом,."
    "Думаю у нас получиться и Вы оцените наши труды!"
    Ответ написан
  • Являются ли ФИО в соц.сети персональными данными?

    Если Вы собираете только ФИО, то это не ПДн. ФИО + e-mail уже могут трактоваться как ПДн. ФИО + номер телефона - 100% ПДн. Комбинации данных можно долго перечислять.
    Если Вы обрабатываете только те ПДн, которые необходимы для цели обработки (в данном случае - регистрация пользователя и создание для него персонального профиля, предоставление услуг соц. сети и т.д.), то при выполнении требований законодательства проблем быть не должно.
    Если вынесете сайт за рубеж, но будете обрабатывать ПДн россиян - то хранить базы данных с ПДн все равно придется на серверах, которые территориально расположены в РФ.
    Ответ написан
    Комментировать
  • Настроить винчестер на полное удаление информации с первого раза, возможно ли это?

    Важно правильно обозначить, что Вам нужно - удаление информации или её уничтожение. Судя по вопросу, Вас интересует именно уничтожение информации - действия, в результате которых становится невозможно восстановить информацию.

    Уничтожить информацию можно двумя способами: уничтожить саму информации с носителя, либо уничтожить сам носитель с информацией.

    Уничтожение информации с машинного носителя при помощи специализированных программных средств осуществляется при помощи следующих методов:
    • полная перезапись машинного носителя;
    • частичная перезапись машинного носителя.


    Уничтожение машинного носителя информации осуществляется при помощи следующих методов:
    • механическое уничтожение;
    • физическое;
    • химическое.


    Определить способ уничтожения можете только Вы, основываясь на степени ущерба от нарушения конфиденциальности информации и своем бюджете.

    Можно почитать стандарты уничтожения данных:
    • ГОСТ Р50739-95;
    • DoD 5220.22-M;
    • NAVSO P-5239-26 (RLL);
    • NAVSO P-5239-26 (MFM);
    • VSITR.

    Ответ написан
    Комментировать
  • Работник отправил скан паспорта родственника на личную почту, это нарушение?

    Работник воспользовался корпоративными ресурсами (сканер, почта) для личных (семейных?) нужд.
    Если в компании есть запрет на использование корпоративных ресурсов в личных целях, то работник должен понести ответственность. Если нет - есть повод задуматься о таком регламенте.
    Действие ФЗ-152 не распространяется на отношения, возникающие при обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных.
    Ответ написан
    Комментировать
  • Какие есть требования к хранению и обработке паспортных данных? Возможные юридические проблемы?

    В первую очередь нужно отталкиваться от ФЗ-152 "О персональных данных".
    Если государственная информационная система - реализовать меры из Приказа ФСТЭК №17. Если негосударственная - из Приказ ФСТЭК № 21. Уровень защиты зависит от того, информацию о скольких субъектах будете обрабатывать и какие категории будете собирать (если только паспортные данные - то хорошо).
    Помимо этого нужно изучить и реализовать все требования от ФСТЭК, ФСБ и Роскомнадзора, а потом отправить последнему уведомление об обработке ПДн.
    Ответ написан
    Комментировать
  • Знания для молодого специалиста по информационной безопасности: операционные системы?

    Основные направления технической защиты: администрирование (системный администратор, нужно уметь поддерживать инфраструктуру в рабочем состоянии, знание сетевых технологий, администрирование Windows и Unix); установка и настройка средств защиты (нужно идти в компании, продающие эти решения и получать опыт там); защита от утечек по техническим каналам (очень высокий и дорогой уровень защиты), тесты на проникновение. Универсалом быть не рекомендуется)
    Про администратора: он отвечает за обслуживание инфраструктуры, должен уметь работать с ПО (инсталяция, деинсталяция, обновление), настраивать антивирусную защиту, резервирование, уничтожение данных, работать с сетями, настраивать парольные политики, обслуживать компьютеры, сервера и пр. технику. По факту он не безопасник, а технический специалист. Что и как покупать и по каким правилам настраивать решают специалисты по ИБ, администратор выполняет их поручения (если в организации занимаются безопасностью).
    Сам специалист по ИБ должен знать азы по всем техническим направлениям и уметь работать с законодательством.
    Ответ написан
    Комментировать
  • Документ по информационной безопасности в Вашей компании?

    Вы правильно пишете, что документ по ИБ - один из важнейших документов, ведь он находится в вершине иерархии документов по защите информации.
    В идеале у компании должна быть Концепция ИБ и Политика ИБ. Если компания к тому же является оператором персональных данных, то по ФЗ-152 должна быть разработана Политика обработки [и защиты] персональных данных.
    Организационную документацию логично разделить на две части: организация защиты и обеспечение защиты. В первой пишутся организационные моменты, во второй - как все нужно настроить админам, чтобы соответствовало планам организаторов. Не забываем про назначение ответственности по каждому направлению работ: уничтожение данных, резервирование данных, доступ в служебные помещения и пр.
    Ответ написан
    Комментировать