Читайте и наслаждайтесь :)
Показаны сообщения с ярлыком ПДн. Показать все сообщения
Показаны сообщения с ярлыком ПДн. Показать все сообщения
Апдейт про администрацию Сочи
Прислали ответ краснодарского РКН по поводу массового незаконного сбора ПДн работников сочинских банков.
Читайте и наслаждайтесь :)
Читайте и наслаждайтесь :)
Администрация Сочи собирает ПДн банковских работников
Прислали краснодарские друзья. Если б не проверенный источник, подумал бы, что фишинг: обезличенные адресаты, содержимое не связано с темой, ящики на Яндекс и Мылору... жуть.
Береги лицо смолоду
Самое веселое на этом сайте - это точные цитаты с сайта Роскомнадзора про обработку сведений из публичных аккаунтов соц.сетей:
В Европе новое законодательство по защите ПДн
В Европе обновили законодательство в области обработки ПДн: General Data Protection Regulation. Ознакомиться можно тут.
Про бумажные базы персональных данных
2. Сбор ПДн можно организовывать сначала в картотеку
3. Из картотеки передавать ПДны можно напрямую заграницу
то есть подписываем бумажный договор с клиентом, складываем в стопочку, вбиваем ПДны клиента в иностранный SAP/Salesforce/кудаугодно.
Бонусом:
ПДны достаточно "локализовать" один раз. Если они локализованы в одной системе, в других их можно собирать сразу за рубежом.
Safe Harbour всё (?)
Как известно, наше законодательство по перс.данным во многом списано с европейского. Пересылать перс.данные европейцев внутри Евросоюза легко, но трансграничная пересылка перс.данных в страны, не обеспечивающие адекватной защиты ПДн (например, США), запрещена. Выходят они из этой ситуации очень просто с помощью принципа "Тихой Гавани" (Safe Harbour Decision), который позволяет американским компаниям объявить о том, что они соблюдают принципы Евроконвенции, и ограничения не пересылку евроПДнов снимаются.
Нашелся один австриец, который не поверил джентельменам на слово, распечатал презенташку Сноудена и ткнул суд в слайды про дружбу Facebook с АНБ. Суд решил запретить Facebook пересылку евроПДн в США и вернуть евроПДны на родину аля 242-ФЗ.
Если в течении 3х месяцев еврозаконодатели не разродятся новым актом, объясняющим тотальный слив перс.данных граждан Евросоюза американским спецслужбам, любой гражданин ЕУ сможет засудить Google, Facebook и многих многих других.
Поживём, увидим.
Нашелся один австриец, который не поверил джентельменам на слово, распечатал презенташку Сноудена и ткнул суд в слайды про дружбу Facebook с АНБ. Суд решил запретить Facebook пересылку евроПДн в США и вернуть евроПДны на родину аля 242-ФЗ.
Если в течении 3х месяцев еврозаконодатели не разродятся новым актом, объясняющим тотальный слив перс.данных граждан Евросоюза американским спецслужбам, любой гражданин ЕУ сможет засудить Google, Facebook и многих многих других.
Поживём, увидим.
ГОСТ шифрование в SAP
При построении распределенных корпоративных ИТ систем неизбежно появляется потребность в использовании сертифицированной криптографии. На 90% эта потребность покрывается большим парком различных сертифицированных VPN решений. Однако шифрование на сетевом/транспортном уровне имеет ряд недостатков: удобным можно назвать только site-to-site решения (криптошлюзы), которые не решают проблему внутреннего нарушителя (снифера), открытым остаётся так же вопрос удалённого доступа.
Шифрование на уровне приложений частенько является более экономичным и удобным решением, и тут начинаются проблемы.
95% имеющихся на рынке продуктов, заявляющих о наличии шифрования "по ГОСТу", на деле используют внешние библиотеки (например, КриптоПро CSP). Отсюда и появляется огромная пропасть между двумя понятиями: "Наш продукт реализует шифрование по ГОСТу" и "Наш продукт реализует сертифицированное шифрование".
Если в первом случае использования Crypto API от КриптоПро CSP действительно достаточно, то во втором случае необходимо открыть формуляр на КриптоПро и прочитать в нём п.1.5:
Таким образом, если в вашей системе будут персональные данные, или ваша компания учавствует в госзакупках - то пожалуйте в 8 Центр ФСБ России за согласованием.
Несмотря на то, что факт этот известен не первый год, поток маркетингового вранья из уст вендоров не пересыхает. Будьте внимательны и вовремя стряхивайте лапшу с ушей!
PS "Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации" давно уже устарели
Шифрование на уровне приложений частенько является более экономичным и удобным решением, и тут начинаются проблемы.
95% имеющихся на рынке продуктов, заявляющих о наличии шифрования "по ГОСТу", на деле используют внешние библиотеки (например, КриптоПро CSP). Отсюда и появляется огромная пропасть между двумя понятиями: "Наш продукт реализует шифрование по ГОСТу" и "Наш продукт реализует сертифицированное шифрование".
Если в первом случае использования Crypto API от КриптоПро CSP действительно достаточно, то во втором случае необходимо открыть формуляр на КриптоПро и прочитать в нём п.1.5:
1.5 При встраивании СКЗИ ЖТЯИ.00083-01 в прикладные системы необходимо по Техническому заданию, согласованному с 8 Центром ФСБ России, проводить оценку влияния среды функционирования СКЗИ на выполнение предъявленных к СКЗИ требований в случаях:
- если информация конфиденциального характера, обрабатываемая СКЗИ, подлежит защите в соответствии с законодательством Российской Федерации;
- при организации защиты информации конфиденциального характера, обрабатываемой СКЗИ, в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации;
- при организации криптографической защиты информации конфиденциального характера, обрабатываемой СКЗИ, в организациях независимо от их организационно-правовой формы и формы собственности при выполнении ими заказов на поставку товаров, выполнение работ или оказание услуг для государственных нужд.
Таким образом, если в вашей системе будут персональные данные, или ваша компания учавствует в госзакупках - то пожалуйте в 8 Центр ФСБ России за согласованием.
Несмотря на то, что факт этот известен не первый год, поток маркетингового вранья из уст вендоров не пересыхает. Будьте внимательны и вовремя стряхивайте лапшу с ушей!
PS "Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации" давно уже устарели
Электронный ящик - персональные данные
Не прошло и 9 лет действия 152-ФЗ, как РКН, наконец-таки, разъяснил, что же является персональными данными.
Адрес места жительства ИП - ПДн
Апелляционное определение Волгоградского областного суда от 24.04.2014 по делу N 33-4427/2014 В удовлетворении заявления о признании незаконным представления прокурора об устранении нарушений законодательства о защите персональных данных отказано, так как оспариваемое представление прокурора вынесено в адрес истца в соответствии с законом и в пределах его компетенции.
Адрес места жительства ИП (он же адрес регистрации ИП и адрес осуществления деятельности ИП) - персональные данные, доступ к которым ограничен законом (см. п.5 ст.6 ФЗ от 8 августа 2001 г. N 129-ФЗ ).
То есть CRMки, где хранятся только "юрики", это, скорее всего, ИСПДн. Их нужно переносить в Россию и защищать по всем нормам 152-фз.
Грядущие разъяснения 242-ФЗ
Роскомнадзор не опубликовал обещанных разъяснений норм 242-ФЗ, однако, судя по всему, это сделает в ближайшее время Минкомсвязи как надстоящая организация, уполномоченная давать трактовку положений ФЗ.
Какова позиция регулятора и что нам ждать через 2 недели.
Какова позиция регулятора и что нам ждать через 2 недели.
Об интернет-дневниках
Как то так сложилось, что я никогда и ничего не слышал об интернет-дневниках в контексте защиты информации и, в частности, персональных данных. А ведь только один Dnevnik.ru обрабатывает сведения о 8 миллионах россиян: родителях и учениках из 30 тысяч школ по всей России! Такому объему могут позавидовать даже госорганы.
Кроме того Дневник.ру интересен тем, что является коммерческой компании, основанной выпускником Колумбийского университета (США), которая потратила значительные средства для организации бесплатной школьной социальной сети. Любопытно, не правда ли?
Просмотрев сайт dnevnik.ru я нашел пару интересных вещей.
Скажи мне, какая у тебя реклама, и я скажу кто ты...
Уже немного осталось до окситоциновых разбрызгивателей в крупных супермаркетах, однако новый этап борьбы за покупателя наступил уже сегодня - я говорю о персонализированной рекламе.
Подписаться на:
Сообщения (Atom)