Требования_по_безопасности_информации_Утверждены_приказом_ФСТЭК.pdf
87.7 KB
Please open Telegram to view this post
VIEW IN TELEGRAM
Главной причиной утечек данных в российских компаниях являются не хакерские атаки или вирусы, а сбои в работе IT-систем.
В 45% случаев причиной утечек становился сбой в IT-системе, на треть случаев (33%) пришлась поломка устройства или ПО, в четверти случаев (25%) сотрудники сами забывали пароль или случайно удаляли важные файлы. При этом только в 18% инцидентах виноваты были вредоносные программы.
Из опроса также стало ясно, что большинство компаний (58%) не проводит тренингов по информационной безопасности. В остальных случаях обучение проводится либо раз в полгода, либо ежеквартально.
В топ самых популярных способов защиты данных вошли двухфакторная аутентификация (67%), ограничение доступа к личным устройствам и аккаунтам (63%) и аккуратное использование личных данных в соцсетях (62%). Источник
Все эти причины утечек нередко возникают в праздники, и в связи с этим делимся с вами простым чек-листом - Как обеспечить информационную безопасность в праздники?
В 45% случаев причиной утечек становился сбой в IT-системе, на треть случаев (33%) пришлась поломка устройства или ПО, в четверти случаев (25%) сотрудники сами забывали пароль или случайно удаляли важные файлы. При этом только в 18% инцидентах виноваты были вредоносные программы.
Из опроса также стало ясно, что большинство компаний (58%) не проводит тренингов по информационной безопасности. В остальных случаях обучение проводится либо раз в полгода, либо ежеквартально.
В топ самых популярных способов защиты данных вошли двухфакторная аутентификация (67%), ограничение доступа к личным устройствам и аккаунтам (63%) и аккуратное использование личных данных в соцсетях (62%). Источник
Все эти причины утечек нередко возникают в праздники, и в связи с этим делимся с вами простым чек-листом - Как обеспечить информационную безопасность в праздники?
👍3
РАСПИСАНИЕ на январь уже на сайте!
Программы на которые стоит обратить внимание:
✔️ 22.01 "Информационная безопасность организаций и предприятий" Подробнее
✔️ 25.01 "Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных" Подробнее
✔️ 29.01 "Обеспечение безопасности значимых объектов критической информационной инфраструктуры" Подробнее
✔️ 31.01 "Персональные данные: обработка" Подробнее
Для записи:
✉️ info@imoib.ru
📞 +7 (495) 268-13-42
#обучение
Программы на которые стоит обратить внимание:
✔️ 22.01 "Информационная безопасность организаций и предприятий" Подробнее
✔️ 25.01 "Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных" Подробнее
✔️ 29.01 "Обеспечение безопасности значимых объектов критической информационной инфраструктуры" Подробнее
✔️ 31.01 "Персональные данные: обработка" Подробнее
Для записи:
✉️ info@imoib.ru
📞 +7 (495) 268-13-42
#обучение
Мы вернулись! 🌟
Дорогие друзья и коллеги, пришло время возвращаться с новогодних каникул и начинать новый год с новыми силами! Надеемся, вы хорошо провели свои новогодние каникулы и готовы к новым свершениям.
Напоминаем - регистрация на проекты января уже открыта на сайте!
🌐 imoib.ru
✉️ info@imoib.ru
📞 +7 (495) 268-13-42
Дорогие друзья и коллеги, пришло время возвращаться с новогодних каникул и начинать новый год с новыми силами! Надеемся, вы хорошо провели свои новогодние каникулы и готовы к новым свершениям.
Напоминаем - регистрация на проекты января уже открыта на сайте!
🌐 imoib.ru
✉️ info@imoib.ru
📞 +7 (495) 268-13-42
Программа и регистрация
Курс повышения квалификации для заместителей руководителя и специалистов по защите информации
- Управление информационной безопасностью
- Реагирование на компьютерные инциденты
- Моделирование угроз согласно методики ФСТЭК России
- Организация работы со средствами криптографической защиты в соответствии с требованиями ФСБ России
- Обеспечение безопасности ПДн при их обработке в информационных системах ПДн
- Организация работы со средствами защиты информации в соответствии с требованиями ФСТЭК России и ФСБ России
e-mail: info@imoib.ru
тел.: +7 (495) 268-13-42
#обучение #информационнаябезопасность
Please open Telegram to view this post
VIEW IN TELEGRAM
Перечень_типовых_ОКИИ_в_здравоохранении.pdf
659.5 KB
Опубликован Перечень типовых объектов критической информационной инфраструктуры Российской Федерации, функционирующих в сфере здравоохранения.
Please open Telegram to view this post
VIEW IN TELEGRAM
Депутаты Государственной Думы приняли в первом чтении законопроект об усилении ответственности за утечку персональных данных.
Подробнее о законопроектах рассказали в этом посте
Источник
#новости #персональныеданные
«За нарушение, допущенное впервые, должностных лиц могут оштрафовать на сумму до 2 млн рублей, юридических — до 15 млн. Размеры штрафов дифференцированы в зависимости от масштаба утечек. Одновременно вводится уголовная ответственность за использование, передачу, сбор и хранение персональных данных, полученных незаконным путем. ... Максимальный срок лишения свободы — до 10 лет." — пояснил Председатель ГД.
Подробнее о законопроектах рассказали в этом посте
Источник
#новости #персональныеданные
Дзен | Статьи
Профилактические визиты РКН - что это и к чему быть готовым?
Статья автора «Институт МОИБ - информационная безопасность» в Дзене ✍: В 2023 году Правительство РФ продлило мораторий на плановые проверки Роскомнадзора малого и среднего предпринимательства...
На сайтах территориальных подразделений Роскомнадзора опубликованы Планы-графики проведения обязательных профилактических визитов на 2024 год - rkn.gov.ru/about/territorial/
В том году, мы рассказывали, что такое профилактический визит и к чему быть готовым. Информация актуальна и сейчас - ссылка
🖥 imoib.ru
📧 info@imoib.ru
📞 +7 (495) 268-13-42
В том году, мы рассказывали, что такое профилактический визит и к чему быть готовым. Информация актуальна и сейчас - ссылка
🖥 imoib.ru
📧 info@imoib.ru
📞 +7 (495) 268-13-42
РАСПИСАНИЕ на февраль уже на сайте!
Программы на которые стоит обратить внимание:
✔️ 15.02 "Информационная безопасность организаций и предприятий" Подробнее
✔️ 16.02 "Особенности защиты информации в государственных информационных системах" Подробнее
✔️ 19.02 "Персональные данные: практическое погружение" Подробнее
✔️ 26.02 "Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных" Подробнее
✔️ 29.02 "Основы реагирования на компьютерные инциденты и ликвидация последствий компьютерных атак" Подробнее
Для записи:
✉️ info@imoib.ru
📞 +7 (495) 268-13-42
#обучение
Программы на которые стоит обратить внимание:
✔️ 15.02 "Информационная безопасность организаций и предприятий" Подробнее
✔️ 16.02 "Особенности защиты информации в государственных информационных системах" Подробнее
✔️ 19.02 "Персональные данные: практическое погружение" Подробнее
✔️ 26.02 "Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных" Подробнее
✔️ 29.02 "Основы реагирования на компьютерные инциденты и ликвидация последствий компьютерных атак" Подробнее
Для записи:
✉️ info@imoib.ru
📞 +7 (495) 268-13-42
#обучение
Программа и регистрация
Курс будет полезен для руководителей, специалистов по защите информации органов гос. власти и государственных и муниципальных учреждений. Руководителей и специалистов организаций специализирующихся на выполнении работ по технической защите конфиденциальной информации.
- Требования, цели и задачи защиты информации в ГИС,
- Классификация, формирование модели угроз безопасности, аттестация ГИС.
- Обработка персональных данных в ГИС.
- Требования к процессам, форме и содержанию документов.
- Особенности обеспечения безопасности официальных сайтов органов государственной власти и другое
📧 info@imoib.ru
📞 +7 (495) 268-13-42
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
Новая статья уже на нашем сайте - ССЫЛКА ❕
В статье доктор педагогических наук, профессор и наш преподаватель - Астахова Людмила Викторовна рассматривает почему так важно проводить повышение осведомленности сотрудников об информационной безопасности и как составить программу для такого мероприятия 👉🏻
📧 info@imoib.ru
📞 +7 (495) 268-13-42
В статье доктор педагогических наук, профессор и наш преподаватель - Астахова Людмила Викторовна рассматривает почему так важно проводить повышение осведомленности сотрудников об информационной безопасности и как составить программу для такого мероприятия 👉🏻
📧 info@imoib.ru
📞 +7 (495) 268-13-42
👍2
Уважаемые коллеги! Мы открываем новый раздел под названием "Полевые заметки". Короткие истории из наших проектов по защите информации, обработке персональных данных, обучении в области ИБ. И первая история «Знания юриста в области персональных данных – всё»!
В день вручения Оскара вспомнилась крылатая фраза из советского оскароносного фильма «Москва слезам не верит»: «… Ну, уж если вы в Моссовете не замужем…». И возникла аналогия с юристами, которых сегодня часто назначают ответственными за работу с персональными данными компании. Ведь юрист фирмы, в сознании многих, - это всезнающий знаток права.
Однако всегда ли это так в случае с персональными данными?
Практика показывает, что нет.
И вот пример из нашей практики. В начале марта мы проводили аудит обработки персональных данных в одной крупной управляющей компании, обслуживающей более 100 тыс. собственников жилья. Начальник юридического отдела накануне встречи с нашим специалистом отдела защиты информации самостоятельно заполнил Анкету для обследования процессов обработки персональных данных по их цели в юр.отделе: «Участие в гражданском, административном, арбитражном судопроизводстве и претензионной работе» и указал всего 4 категории персональных данных, которые, якобы, обрабатываются по всем участникам этого процесса.
Однако, когда наш специалист отдела защиты информации вместе с начальником юридического отдела проводил обследование, анализировал их бизнес-процессы, то оказалось, что по факту по данной цели обрабатывается 14 категорий персональных данных. Для регулятора - отличие принципиальное!
Сейчас многие компании самостоятельно проводят внутренний аудит обработки и защиты персональных данных, и их подразделения предоставляют информацию ответственному за организацию обработки персональных данных. А ответственный по полученной информации должен обновлять Уведомление в Роскомнадзор и размещать на корпоративном сайте «Политику по обработке и защите персональных данных», в том числе - отдельный раздел «Цели обработки персональных данных». Поэтому может оказаться так, что поданная вашей фирмой неточная информация в Уведомлении приведет к штрафу в размере от 100 тыс. рублей. Это - новые изменения в ч.10 ст.13.11 КоАП РФ, которые Государственная дума утвердила в первом чтении в феврале 2024 года. А если возьмем во внимание Приказ Минцифры № 1187 с дополнениями от 17.08.2023 г.,об индикатора риска нарушения обязательных требований в области персональных данных, то три и более факта несоответствия информации в форме Уведомления, будут означать, что Управление Роскомнадзора вправе провести внеплановую проверку организации.
Так что «статус юриста в этой ситуации - ничто, а вот его знания в области персональных данных – всё!»
В день вручения Оскара вспомнилась крылатая фраза из советского оскароносного фильма «Москва слезам не верит»: «… Ну, уж если вы в Моссовете не замужем…». И возникла аналогия с юристами, которых сегодня часто назначают ответственными за работу с персональными данными компании. Ведь юрист фирмы, в сознании многих, - это всезнающий знаток права.
Однако всегда ли это так в случае с персональными данными?
Практика показывает, что нет.
И вот пример из нашей практики. В начале марта мы проводили аудит обработки персональных данных в одной крупной управляющей компании, обслуживающей более 100 тыс. собственников жилья. Начальник юридического отдела накануне встречи с нашим специалистом отдела защиты информации самостоятельно заполнил Анкету для обследования процессов обработки персональных данных по их цели в юр.отделе: «Участие в гражданском, административном, арбитражном судопроизводстве и претензионной работе» и указал всего 4 категории персональных данных, которые, якобы, обрабатываются по всем участникам этого процесса.
Однако, когда наш специалист отдела защиты информации вместе с начальником юридического отдела проводил обследование, анализировал их бизнес-процессы, то оказалось, что по факту по данной цели обрабатывается 14 категорий персональных данных. Для регулятора - отличие принципиальное!
Сейчас многие компании самостоятельно проводят внутренний аудит обработки и защиты персональных данных, и их подразделения предоставляют информацию ответственному за организацию обработки персональных данных. А ответственный по полученной информации должен обновлять Уведомление в Роскомнадзор и размещать на корпоративном сайте «Политику по обработке и защите персональных данных», в том числе - отдельный раздел «Цели обработки персональных данных». Поэтому может оказаться так, что поданная вашей фирмой неточная информация в Уведомлении приведет к штрафу в размере от 100 тыс. рублей. Это - новые изменения в ч.10 ст.13.11 КоАП РФ, которые Государственная дума утвердила в первом чтении в феврале 2024 года. А если возьмем во внимание Приказ Минцифры № 1187 с дополнениями от 17.08.2023 г.,об индикатора риска нарушения обязательных требований в области персональных данных, то три и более факта несоответствия информации в форме Уведомления, будут означать, что Управление Роскомнадзора вправе провести внеплановую проверку организации.
Так что «статус юриста в этой ситуации - ничто, а вот его знания в области персональных данных – всё!»
imoib.ru
Полевые заметки: «Знания юриста в области персональных данных – всё»! | Институт мониторинга и оценки информационной безопасности
Мы открываем новый раздел под названием "Полевые заметки". Короткие истории из наших проектов по обработке персональных данных , защите информации и обучении в области ИБ. «Знания юриста в области персональных данных – всё»! В день вручения Оскара вспомнилась…
👍4
Полевые заметки №2 Как Исполнитель проекта по персональным данным оказал Заказчику «медвежью услугу».
Провели в марте у клиента-крупной федеральной промышленной компании, аудит документации по персональным данным, на соответствие обработки и защиты ПДн требованиям законодательства. Данный проект у нашего клиента проводил лицензиат ФСТЭК и ФСБ России, и заказчик был уверен, что статусный исполнитель, с убедительным портфолио, проведет работы качественно и компетентно.
А что оказалось по итогу?
Приведем лишь один пример из нашего отчета по аудиту. В рамках технического задания, исполнитель подготовил новую редакцию Уведомления об обработке персональных данных, для его подачи в Роскомнадзор, кстати, для данного регулятора, этот документ об операторе персональных данных – главный, основополагающий документ. Мы его часто называем «Портретом оператора». И на наш взгляд, Исполнитель Заказчика сильно подвел, портрет оператора оказался как в «кривом зеркале».
Исполнитель, по его странному умозаключению, в первом разделе Уведомления: «Цель обработки персональных данных» в большинстве из 17 целей, что он определил по бизнес процессам, в таких например, как «Подготовка, заключение и исполнение гражданско-правового договора», «Обеспечение соблюдения налогового законодательства», «Обеспечение соблюдение пенсионного законодательства», «Обеспечение соблюдение страхового законодательства», «Обеспечение пропускного режима», Прохождение производственной и преддипломной практики», «Продвижение товаров работ и услуг» указал в перечне категорий персональных данных, специальную категорию «состояние здоровья» а в некоторых целях еще и «национальность».
На наш вопрос при проведении аудита «Почему исполнитель проекта указал данные категории ПДн по данным целям», никто в компании не смог вразумительно ответить, даже в тех отделах, по каким формулировались Цели обработки. Мы думаем, что Исполнитель автоматически копировал перечень категорий ПДн по первой в их списке цели «Кадровый и бухгалтерский учет» и вставлял их в другие разделы. При этом кадровики и бухгалтеры, в своих внутренних типовых формах, могли фиксировать, еще с давних времен, «состояние здоровья» и «национальность» (а это уже другая, еще более штрафная, по ст.13.11 КоАП РФ, история- о законном основании обрабатывать эти специальные категории ПДн).
А что может быть за такую «вольную» информацию?
Во-первых, Роскомнадзор, в каждом регионе группирует операторов, в группы риска, и как следствие, затем регулятор исходя из групп риска, формирует планы проверок на следующие годы. И если оператор ПДн указал в Уведомлении «специальную категорию», то в соответствии с показателями постановления Правительства №1046 о госконтроле за обработкой персональных данных, наш оператор из группы «Умеренного риска» автоматически перейдет в группу «Значительного риска», а это означает, что РКН может включать в план проверок компанию раз в 3 года, а не раз в 6 лет, как предусмотрено постановлением №1046.
Во-вторых, в соответствии с вносимыми дополнениями в ст.13.11 КоАП РФ о нарушениях законодательства по ПДн, Госдума утвердила в феврале 2024 года новую ч.10 ст.13.11 именно по Уведомлению, когда такая «вольная» информация, может стоить компании от 100 тыс. до 300 тыс. штрафа.
В-третьих, в соответствии с Приказом Минцифры №720 от 17.08.2023г. о перечне индикаторов риска, три факта несоответствия информации в Уведомлении и в Политике по обработке персональных данных, а в тексте Политики компания эти специальные категории не указала, т.к. Политика публичный документ, размещенный на сайте (Политику, кстати также подготовил Исполнитель). А информация по целям обработки с перечнем категорий ПДн должна быть синхронизирована в Уведомлении и Политике. Если этого нет, то Роскомнадзор имеет право на внеплановую проверку.
Вот и получается, что компания, принимая проект от Исполнителя не стала вникать, казалось бы, в такие мелочи, а в результате получила «медвежью услугу».
Так что «доверяя-проверяй»!
Провели в марте у клиента-крупной федеральной промышленной компании, аудит документации по персональным данным, на соответствие обработки и защиты ПДн требованиям законодательства. Данный проект у нашего клиента проводил лицензиат ФСТЭК и ФСБ России, и заказчик был уверен, что статусный исполнитель, с убедительным портфолио, проведет работы качественно и компетентно.
А что оказалось по итогу?
Приведем лишь один пример из нашего отчета по аудиту. В рамках технического задания, исполнитель подготовил новую редакцию Уведомления об обработке персональных данных, для его подачи в Роскомнадзор, кстати, для данного регулятора, этот документ об операторе персональных данных – главный, основополагающий документ. Мы его часто называем «Портретом оператора». И на наш взгляд, Исполнитель Заказчика сильно подвел, портрет оператора оказался как в «кривом зеркале».
Исполнитель, по его странному умозаключению, в первом разделе Уведомления: «Цель обработки персональных данных» в большинстве из 17 целей, что он определил по бизнес процессам, в таких например, как «Подготовка, заключение и исполнение гражданско-правового договора», «Обеспечение соблюдения налогового законодательства», «Обеспечение соблюдение пенсионного законодательства», «Обеспечение соблюдение страхового законодательства», «Обеспечение пропускного режима», Прохождение производственной и преддипломной практики», «Продвижение товаров работ и услуг» указал в перечне категорий персональных данных, специальную категорию «состояние здоровья» а в некоторых целях еще и «национальность».
На наш вопрос при проведении аудита «Почему исполнитель проекта указал данные категории ПДн по данным целям», никто в компании не смог вразумительно ответить, даже в тех отделах, по каким формулировались Цели обработки. Мы думаем, что Исполнитель автоматически копировал перечень категорий ПДн по первой в их списке цели «Кадровый и бухгалтерский учет» и вставлял их в другие разделы. При этом кадровики и бухгалтеры, в своих внутренних типовых формах, могли фиксировать, еще с давних времен, «состояние здоровья» и «национальность» (а это уже другая, еще более штрафная, по ст.13.11 КоАП РФ, история- о законном основании обрабатывать эти специальные категории ПДн).
А что может быть за такую «вольную» информацию?
Во-первых, Роскомнадзор, в каждом регионе группирует операторов, в группы риска, и как следствие, затем регулятор исходя из групп риска, формирует планы проверок на следующие годы. И если оператор ПДн указал в Уведомлении «специальную категорию», то в соответствии с показателями постановления Правительства №1046 о госконтроле за обработкой персональных данных, наш оператор из группы «Умеренного риска» автоматически перейдет в группу «Значительного риска», а это означает, что РКН может включать в план проверок компанию раз в 3 года, а не раз в 6 лет, как предусмотрено постановлением №1046.
Во-вторых, в соответствии с вносимыми дополнениями в ст.13.11 КоАП РФ о нарушениях законодательства по ПДн, Госдума утвердила в феврале 2024 года новую ч.10 ст.13.11 именно по Уведомлению, когда такая «вольная» информация, может стоить компании от 100 тыс. до 300 тыс. штрафа.
В-третьих, в соответствии с Приказом Минцифры №720 от 17.08.2023г. о перечне индикаторов риска, три факта несоответствия информации в Уведомлении и в Политике по обработке персональных данных, а в тексте Политики компания эти специальные категории не указала, т.к. Политика публичный документ, размещенный на сайте (Политику, кстати также подготовил Исполнитель). А информация по целям обработки с перечнем категорий ПДн должна быть синхронизирована в Уведомлении и Политике. Если этого нет, то Роскомнадзор имеет право на внеплановую проверку.
Вот и получается, что компания, принимая проект от Исполнителя не стала вникать, казалось бы, в такие мелочи, а в результате получила «медвежью услугу».
Так что «доверяя-проверяй»!
imoib.ru
Полевые заметки: "Как Исполнитель проекта по персональным данным оказал Заказчику «медвежью услугу»" | Институт мониторинга и оценки…
Провели в марте у клиента-крупной федеральной промышленной компании, аудит документации по персональным данным, на соответствие обработки и защиты ПДн требованиям законодательства. Данный проект у нашего клиента проводил лицензиат ФСТЭК и ФСБ России, и заказчик…
👍1
РАСПИСАНИЕ на апрель уже на сайте!
Новые семинары:
✔️ 12.04 "Персональные данные: организация защиты и предупреждение утечек" Подробнее
✔️ 17.04 "Конфиденциальное делопроизводство" Подробнее
Повышение квалификации:
✔️ 18.04 "Информационная безопасность организаций и предприятий" Подробнее
✔️ 23.04 "Персональные данные: практическое погружение" Подробнее
✔️ 26.04 "Основы реагирования на компьютерные инциденты и ликвидация последствий компьютерных атак" Подробнее
Профессиональная переподготовка:
✔️ 22.04 "Информационная безопасность. Техническая защита конфиденциальной информации" Подробнее
Записаться на обучение:
✉️ info@imoib.ru
📞 +7 (495) 268-13-42
Новые семинары:
✔️ 12.04 "Персональные данные: организация защиты и предупреждение утечек" Подробнее
✔️ 17.04 "Конфиденциальное делопроизводство" Подробнее
Повышение квалификации:
✔️ 18.04 "Информационная безопасность организаций и предприятий" Подробнее
✔️ 23.04 "Персональные данные: практическое погружение" Подробнее
✔️ 26.04 "Основы реагирования на компьютерные инциденты и ликвидация последствий компьютерных атак" Подробнее
Профессиональная переподготовка:
✔️ 22.04 "Информационная безопасность. Техническая защита конфиденциальной информации" Подробнее
Записаться на обучение:
✉️ info@imoib.ru
📞 +7 (495) 268-13-42
imoib.ru
Курсы повышения квалификации | Институт мониторинга и оценки информационной безопасности
Одним из основных направлений деятельности Института мониторинга и оценки информационной безопасности», является проведение курсов повышения квалификации в сфере информационной безопасности. Обучение проводят специалисты-практики, разрабатывающие проекты…
Полевые заметки №3: "Это ж всего лишь электронная подпись…!" На днях к нам обратился за срочной консультацией руководитель одного их региональных СМИ после неожиданного визита в их компанию представителей Управления ФСБ России. Как и любая организация в России, городской информационный центр использует квалифицированные электронные подписи, а значит - применяет шифровальные средства для защиты информации, в том числе персональных данных. Понятие СКЗИ сегодня прочно вошло в наш словооборот, стало нормой, а вот выполнение существующих требований к использованию шифровальных средств - повседневным правилом, увы, не стало! Директору Информ.центра оперативно, в течение недели, теперь предстоит выполнить требования, утвержденные Приказом ФСБ России от 10.07.2014 №378. Нюанс заключался в том, что, будучи подведомственным учреждением Администрации города, Информ.центр получил через учредителя, как он посчитал, всё необходимое для использования криптосредства: «ведь там наверху все всё знают». А всё вышло наоборот. Вердикт представителей Управления ФСБ России: городской информационный центр допустил использование криптосредств, не имеющих действующих сертификатов соответствия ФСБ России, тем самым нарушил ст.19 ФЗ-152 «О персональных данных» и попал под санкции, предусмотренные ч.2 ст.13.12 КоАП РФ. А это значит, что впереди и Суд, и Дело! Поэтому еще раз напоминаем, и в первую очередь - тем организациям, которые не имеют штатных специалистов по защите информации, что всем пора свыкнуться с обязательными требованиями к СКЗИ. О 14 правилах работы с СКЗИ на сайте Института МОИБ.
imoib.ru
Полевые заметки: "Это ж всего лишь электронная подпись…!" | Институт мониторинга и оценки информационной безопасности
На днях к нам обратился за срочной консультацией руководитель одного их региональных СМИ после неожиданного визита в их компанию представителей Управления ФСБ России. Как и любая организация в России, городской информационный центр использует квалифицированные…
👍2
РАСПИСАНИЕ обучения на май уже на сайте!
Семинары:
✔️ 17.05 "Персональные данные: организация защиты и предупреждение утечек" Подробнее
✔️ 22.05 "Персональные данные: организация обработки" Подробнее
✔️ 28 - 30.05 "Персональные данные: практическое погружение" Подробнее
Повышение квалификации:
✔️ 23.05 "Информационная безопасность организаций и предприятий" Подробнее
✔️ 23.05 "Обеспечение безопасности объектов критической информационной инфраструктуры" Подробнее
Профессиональная переподготовка:
✔️ 27.05 "Информационная безопасность. Техническая защита конфиденциальной информации" Подробнее
Записаться на обучение:
✉️ info@imoib.ru
📞 +7 (495) 268-13-42
Семинары:
✔️ 17.05 "Персональные данные: организация защиты и предупреждение утечек" Подробнее
✔️ 22.05 "Персональные данные: организация обработки" Подробнее
✔️ 28 - 30.05 "Персональные данные: практическое погружение" Подробнее
Повышение квалификации:
✔️ 23.05 "Информационная безопасность организаций и предприятий" Подробнее
✔️ 23.05 "Обеспечение безопасности объектов критической информационной инфраструктуры" Подробнее
Профессиональная переподготовка:
✔️ 27.05 "Информационная безопасность. Техническая защита конфиденциальной информации" Подробнее
Записаться на обучение:
✉️ info@imoib.ru
📞 +7 (495) 268-13-42
imoib.ru
Курсы повышения квалификации | Институт мониторинга и оценки информационной безопасности
Одним из основных направлений деятельности Института мониторинга и оценки информационной безопасности», является проведение курсов повышения квалификации в сфере информационной безопасности. Обучение проводят специалисты-практики, разрабатывающие проекты…
👍3
Полевые заметки: Персональные данные. В организацию пришел новый работник.
В который раз, сдавая проект нашему заказчику по аудиту и обработке персональных данным, ловишь себя на мысли, как непросто быть ответственным за организацию обработки персональных данных, тем более - в компании, где отсутствует штатное структурное подразделение по защите информации.
С момента приема-сдачи проекта ответственный берет на себя нелёгкую ношу, ведь руководство теперь считает, что исполнитель проекта всё разработал, всё подготовил, все точки над И расставил, теперь, товарищ ответственный, бери и действуй!
В такой ситуации, как правило, ответственный остается один на один с «кипой» документов по ПДн и с вопросом: «а что делать дальше со всем этим хозяйством?» и т.д и т.п. Хорошо, если накануне или по ходу проекта, ответственный убедит себя или убедит руководство, что необходимо пройти «азы-основы» на каком-нибудь практическом семинаре или курсе по персональным данным, тогда и система в голове появиться, да и приемка проекта будет более результативной. Но если откровенно, то такой сценарий, - исключение из правил.
На практике, к сожалению, сталкиваемся с обратным. Хотя уже в период проведения нами обследования, анализа обработки и защиты персональных данных, по ходу разработки и согласования с заказчиком ОРД и технической документации и ответственный, и иные должностные лица, соглашаются с тем, что у них появляется более полная картина работы с персональными данными. Они начинают понимать значимость «деталей», «мелочей», которые, как никогда важны. Тем более сейчас, когда обновилась и в ближайшие месяцы еще более ужесточится статья 13.11 КоАП РФ. Всем «как бы все понятно». И вот проект завершен, работы приняты, все сделали выдох и …… и в компании делается пауза.
Жизнь берет свое: все, продолжая заниматься своим основным функционалом, постепенно забывают «о персональных данных», и тут вдруг - в организации приходят новые сотрудники, кому в рамках функционала нужно работать с персональными данными.
Что делать?
Несколько наших советов ответственному:
1. Нужно ознакомить работника с приказом о доступе к персональным данным в ИСПДн «Работники», например, или «Клиенты/Граждане», в зависимости от функционала, и получить его подпись в Листе ознакомления.
2. Нужно ознакомить работника с приказом о местах хранения материальных носителей, содержащих персональные данные (в случае его работы с бумажными документами с ПДн) и получить его подпись в Листе ознакомления.
3. Нужно ознакомить работника с Инструкцией пользователя информационных (ой) систем (мы) и получить его подпись в Листе ознакомления.
4. Нужно ознакомить его с приказом о Правилах работы с персональными данными в организации (данный приказ охватывает все внутренние локальные акты организации по работе с персональными данными и(или) иной конфиденциальной информацией, включая Политику(ки), Положения, Регламенты, Порядки, Инструкции и т.д., как по обработке, так и по защите информации) и получить его подпись в Листе ознакомления с данным приказом. ПОМНИТЕ: при этом работник должен фактически ознакомиться с перечисленными документами!
5. Работнику нужно в первый день подписать «критичные» согласия в письменной форме: при передаче его персональных данных в банк, в рамках зарплатного проекта или перевода всех денежных выплат на личный карт-счет в банк; при передаче его ПДн арендодателю и(или) охранному предприятию, если ведется технический контроль учета доступа на рабочее место сторонними организациями; при передаче его ПДн на корпоративный портал компании, в том числе на корпоративный портал холдинга; при передаче его ПДн в рамках ведения кадрового, бухгалтерского и налогового учета управляющей компанией холдинга или иным внешним подрядчиком; при сборе отделом кадров избыточных ПДн, например копий, сканов документов, когда их хранение в личном деле работника не предусмотрено федеральными отраслевыми нормами; при распространении его ПДн на официальном сайте, например на странице «профиль работника» и т.д.
В который раз, сдавая проект нашему заказчику по аудиту и обработке персональных данным, ловишь себя на мысли, как непросто быть ответственным за организацию обработки персональных данных, тем более - в компании, где отсутствует штатное структурное подразделение по защите информации.
С момента приема-сдачи проекта ответственный берет на себя нелёгкую ношу, ведь руководство теперь считает, что исполнитель проекта всё разработал, всё подготовил, все точки над И расставил, теперь, товарищ ответственный, бери и действуй!
В такой ситуации, как правило, ответственный остается один на один с «кипой» документов по ПДн и с вопросом: «а что делать дальше со всем этим хозяйством?» и т.д и т.п. Хорошо, если накануне или по ходу проекта, ответственный убедит себя или убедит руководство, что необходимо пройти «азы-основы» на каком-нибудь практическом семинаре или курсе по персональным данным, тогда и система в голове появиться, да и приемка проекта будет более результативной. Но если откровенно, то такой сценарий, - исключение из правил.
На практике, к сожалению, сталкиваемся с обратным. Хотя уже в период проведения нами обследования, анализа обработки и защиты персональных данных, по ходу разработки и согласования с заказчиком ОРД и технической документации и ответственный, и иные должностные лица, соглашаются с тем, что у них появляется более полная картина работы с персональными данными. Они начинают понимать значимость «деталей», «мелочей», которые, как никогда важны. Тем более сейчас, когда обновилась и в ближайшие месяцы еще более ужесточится статья 13.11 КоАП РФ. Всем «как бы все понятно». И вот проект завершен, работы приняты, все сделали выдох и …… и в компании делается пауза.
Жизнь берет свое: все, продолжая заниматься своим основным функционалом, постепенно забывают «о персональных данных», и тут вдруг - в организации приходят новые сотрудники, кому в рамках функционала нужно работать с персональными данными.
Что делать?
Несколько наших советов ответственному:
1. Нужно ознакомить работника с приказом о доступе к персональным данным в ИСПДн «Работники», например, или «Клиенты/Граждане», в зависимости от функционала, и получить его подпись в Листе ознакомления.
2. Нужно ознакомить работника с приказом о местах хранения материальных носителей, содержащих персональные данные (в случае его работы с бумажными документами с ПДн) и получить его подпись в Листе ознакомления.
3. Нужно ознакомить работника с Инструкцией пользователя информационных (ой) систем (мы) и получить его подпись в Листе ознакомления.
4. Нужно ознакомить его с приказом о Правилах работы с персональными данными в организации (данный приказ охватывает все внутренние локальные акты организации по работе с персональными данными и(или) иной конфиденциальной информацией, включая Политику(ки), Положения, Регламенты, Порядки, Инструкции и т.д., как по обработке, так и по защите информации) и получить его подпись в Листе ознакомления с данным приказом. ПОМНИТЕ: при этом работник должен фактически ознакомиться с перечисленными документами!
5. Работнику нужно в первый день подписать «критичные» согласия в письменной форме: при передаче его персональных данных в банк, в рамках зарплатного проекта или перевода всех денежных выплат на личный карт-счет в банк; при передаче его ПДн арендодателю и(или) охранному предприятию, если ведется технический контроль учета доступа на рабочее место сторонними организациями; при передаче его ПДн на корпоративный портал компании, в том числе на корпоративный портал холдинга; при передаче его ПДн в рамках ведения кадрового, бухгалтерского и налогового учета управляющей компанией холдинга или иным внешним подрядчиком; при сборе отделом кадров избыточных ПДн, например копий, сканов документов, когда их хранение в личном деле работника не предусмотрено федеральными отраслевыми нормами; при распространении его ПДн на официальном сайте, например на странице «профиль работника» и т.д.
Заключение:
Если Вы ответственный за организацию обработки персональных данных, то Вы отвечаете за действия каждого сотрудника при его работе с конфиденциальной информацией. Ведь в случае инцидента с персональными данными, когда дело дойдет до административного регулирования, и регулятор, и мировой (районный) судья будут принимать решения о санкции, исходя из ваших действий или - вашего бездействия.
Если Вы ответственный за организацию обработки персональных данных, то Вы отвечаете за действия каждого сотрудника при его работе с конфиденциальной информацией. Ведь в случае инцидента с персональными данными, когда дело дойдет до административного регулирования, и регулятор, и мировой (районный) судья будут принимать решения о санкции, исходя из ваших действий или - вашего бездействия.
imoib.ru
Полевые заметки. Персональные данные. В организацию пришел новый работник. | Институт мониторинга и оценки информационной безопасности
В который раз, сдавая проект нашему заказчику по аудиту и обработке персональных данным, ловишь себя на мысли, как непросто быть ответственным за организацию обработки персональных данных, тем более - в компании, где отсутствует штатное структурное подразделение…