Институт МОИБ | ИБ, ПДн
338 subscribers
282 photos
5 videos
4 files
197 links
Официальный канал Института МОИБ

Обучаем специалистов по защите информации и обработке персональных данных. Оказываем услуги защиты Вашей информации

Наш чат - https://t.me/+P887V4ifXoRlOWFi
Наш сайт - https://imoib.ru

По всем вопросам -@institutemoib
Download Telegram
РАСПИСАНИЕ на апрель уже на сайте!

Новые семинары:

✔️ 12.04 "Персональные данные: организация защиты и предупреждение утечек" Подробнее

✔️ 17.04 "Конфиденциальное делопроизводство" Подробнее

Повышение квалификации:

✔️ 18.04 "Информационная безопасность организаций и предприятий" Подробнее

✔️ 23.04 "Персональные данные: практическое погружение" Подробнее

✔️ 26.04 "Основы реагирования на компьютерные инциденты и ликвидация последствий компьютерных атак" Подробнее

Профессиональная переподготовка:

✔️ 22.04 "Информационная безопасность. Техническая защита конфиденциальной информации" Подробнее

Записаться на обучение:
✉️ info@imoib.ru
📞 +7 (495) 268-13-42
Полевые заметки №3: "Это ж всего лишь электронная подпись…!" На днях к нам обратился за срочной консультацией руководитель одного их региональных СМИ после неожиданного визита в их компанию представителей Управления ФСБ России. Как и любая организация в России, городской информационный центр использует квалифицированные электронные подписи, а значит - применяет шифровальные средства для защиты информации, в том числе персональных данных. Понятие СКЗИ сегодня прочно вошло в наш словооборот, стало нормой, а вот выполнение существующих требований к использованию шифровальных средств - повседневным правилом, увы, не стало! Директору Информ.центра оперативно, в течение недели, теперь предстоит выполнить требования, утвержденные Приказом ФСБ России от 10.07.2014 №378. Нюанс заключался в том, что, будучи подведомственным учреждением Администрации города, Информ.центр получил через учредителя, как он посчитал, всё необходимое для использования криптосредства: «ведь там наверху все всё знают». А всё вышло наоборот. Вердикт представителей Управления ФСБ России: городской информационный центр допустил использование криптосредств, не имеющих действующих сертификатов соответствия ФСБ России, тем самым нарушил ст.19 ФЗ-152 «О персональных данных» и попал под санкции, предусмотренные ч.2 ст.13.12 КоАП РФ. А это значит, что впереди и Суд, и Дело! Поэтому еще раз напоминаем, и в первую очередь - тем организациям, которые не имеют штатных специалистов по защите информации, что всем пора свыкнуться с обязательными требованиями к СКЗИ. О 14 правилах работы с СКЗИ на сайте Института МОИБ.
👍2
РАСПИСАНИЕ обучения на май уже на сайте!

Семинары:

✔️ 17.05 "Персональные данные: организация защиты и предупреждение утечек" Подробнее

✔️ 22.05 "Персональные данные: организация обработки" Подробнее

✔️ 28 - 30.05 "Персональные данные: практическое погружение" Подробнее

Повышение квалификации:

✔️ 23.05 "Информационная безопасность организаций и предприятий" Подробнее

✔️ 23.05 "Обеспечение безопасности объектов критической информационной инфраструктуры" Подробнее

Профессиональная переподготовка:

✔️ 27.05 "Информационная безопасность. Техническая защита конфиденциальной информации" Подробнее

Записаться на обучение:
✉️ info@imoib.ru
📞 +7 (495) 268-13-42
👍3
Полевые заметки: Персональные данные. В организацию пришел новый работник.
В который раз, сдавая проект нашему заказчику по аудиту и обработке персональных данным, ловишь себя на мысли, как непросто быть ответственным за организацию обработки персональных данных, тем более - в компании, где отсутствует штатное структурное подразделение по защите информации.
С момента приема-сдачи проекта ответственный берет на себя нелёгкую ношу, ведь руководство теперь считает, что исполнитель проекта всё разработал, всё подготовил, все точки над И расставил, теперь, товарищ ответственный, бери и действуй!
В такой ситуации, как правило, ответственный остается один на один с «кипой» документов по ПДн и с вопросом: «а что делать дальше со всем этим хозяйством?» и т.д и т.п. Хорошо, если накануне или по ходу проекта, ответственный убедит себя или убедит руководство, что необходимо пройти «азы-основы» на каком-нибудь практическом семинаре или курсе по персональным данным, тогда и система в голове появиться, да и приемка проекта будет более результативной. Но если откровенно, то такой сценарий, - исключение из правил.
На практике, к сожалению, сталкиваемся с обратным. Хотя уже в период проведения нами обследования, анализа обработки и защиты персональных данных, по ходу разработки и согласования с заказчиком ОРД и технической документации и ответственный, и иные должностные лица, соглашаются с тем, что у них появляется более полная картина работы с персональными данными. Они начинают понимать значимость «деталей», «мелочей», которые, как никогда важны. Тем более сейчас, когда обновилась и в ближайшие месяцы еще более ужесточится статья 13.11 КоАП РФ. Всем «как бы все понятно». И вот проект завершен, работы приняты, все сделали выдох и …… и в компании делается пауза.
Жизнь берет свое: все, продолжая заниматься своим основным функционалом, постепенно забывают «о персональных данных», и тут вдруг - в организации приходят новые сотрудники, кому в рамках функционала нужно работать с персональными данными.
Что делать?
Несколько наших советов ответственному:
1. Нужно ознакомить работника с приказом о доступе к персональным данным в ИСПДн «Работники», например, или «Клиенты/Граждане», в зависимости от функционала, и получить его подпись в Листе ознакомления.
2. Нужно ознакомить работника с приказом о местах хранения материальных носителей, содержащих персональные данные (в случае его работы с бумажными документами с ПДн) и получить его подпись в Листе ознакомления.
3. Нужно ознакомить работника с Инструкцией пользователя информационных (ой) систем (мы) и получить его подпись в Листе ознакомления.
4. Нужно ознакомить его с приказом о Правилах работы с персональными данными в организации (данный приказ охватывает все внутренние локальные акты организации по работе с персональными данными и(или) иной конфиденциальной информацией, включая Политику(ки), Положения, Регламенты, Порядки, Инструкции и т.д., как по обработке, так и по защите информации) и получить его подпись в Листе ознакомления с данным приказом. ПОМНИТЕ: при этом работник должен фактически ознакомиться с перечисленными документами!
5. Работнику нужно в первый день подписать «критичные» согласия в письменной форме: при передаче его персональных данных в банк, в рамках зарплатного проекта или перевода всех денежных выплат на личный карт-счет в банк; при передаче его ПДн арендодателю и(или) охранному предприятию, если ведется технический контроль учета доступа на рабочее место сторонними организациями; при передаче его ПДн на корпоративный портал компании, в том числе на корпоративный портал холдинга; при передаче его ПДн в рамках ведения кадрового, бухгалтерского и налогового учета управляющей компанией холдинга или иным внешним подрядчиком; при сборе отделом кадров избыточных ПДн, например копий, сканов документов, когда их хранение в личном деле работника не предусмотрено федеральными отраслевыми нормами; при распространении его ПДн на официальном сайте, например на странице «профиль работника» и т.д.
Заключение:
Если Вы ответственный за организацию обработки персональных данных, то Вы отвечаете за действия каждого сотрудника при его работе с конфиденциальной информацией. Ведь в случае инцидента с персональными данными, когда дело дойдет до административного регулирования, и регулятор, и мировой (районный) судья будут принимать решения о санкции, исходя из ваших действий или - вашего бездействия.
Полевые заметки: Как проверка сайта Роскомнадзором привела к документарной проверке компании
С марта 2022 года действует мораторий на проверки в области персональных данных, но это не значит, что инспекторы Роскомнадзора не осуществляют «невидимый» контроль за компаниями. Неожиданности могут подстерегать любого оператора персональных данных.
Один из очередных наших срочных проектов последних недель как раз был связан с плановым контрольным мероприятием Роскомнадзора в одном из регионов ЦФО. Мероприятия систематического наблюдения - это на сегодня единственный легальный вид планового надзорного мероприятия, и итоговый результат такой проверки, когда нет прямого взаимодействия компании и Роскомнадзора, как раз и может привести к непосредственному контакту руководителя организации или ответственного за организацию обработки персональных данных с инспектором Роскомнадзора. Так и произошло в случае, когда нашего клиента пригласили на «ковер» в Управление Роскомнадзора.
И вновь проблема в том, что большинство организаций по незнанию или по забывчивости не открывают на сайте местного регулятора ежегодный План его деятельности, где в разделе «О проведении мероприятий по контролю за обработкой персональных данных, проводимых без взаимодействия с контролируемым лицом» (а попросту - в плане контроля за нашими сайтами) имеется график контрольных мероприятий и список конкретных сфер, сайты предприятий которых будут подвергаться детальному анализу.
Но это только часть проблемы. В конце 2023 года Приказом №720 Минцифры утверждены индикаторы риска в сфере персональных данных. Так вот, если в ходе такого мониторинга сайта организации специальная программа Роскомнадзора найдет 3 и более несоответствий информации, размещенной на сайте, с информацией из Уведомления об обработке персональных данных (которое, кстати, все компании обязаны были обновить), то Роскомнадзор имеет право на проведение внеплановой проверки.
На таком несоответствии информации как раз и «попался» наш новый клиент. В 2022 году, сменив свою основную деятельность, он был выведен ЦБ РФ из реестра микрофинансовых организаций. На своем официальном сайте компания разместила тогда соответствующую информацию, внесла изменения в ряд опубликованных внутренних документов, в том числе и в Политику по обработке и защите персональных данных. Но при этом ответственный за организацию обработки персональных данных не отправил в Роскомнадзор обновленное Уведомление.
В начале 2024 года региональный регулятор провел мониторинг сайтов микрофинансовых организаций, в том числе и сайта нашего клиента (по Уведомлению они относились к таким организациям), и в частности, по ключевым словам, нашел отличие информации на сайте компании от информации в Уведомлении, хотя по факту в 2023 и 2024 годах наш клиент финансовой деятельностью не занимался и соответственно изменил «Цели обработки персональных данных». И вот - как «гром среди ясного неба»: в апреле 2024 года из Роскомнадзора в компанию приходит циркуляр: «О несоответствии требованиям законодательства РФ в области персональных данных».
Генеральный директор, будучи уверенным в том, что он, не занимаясь финансовой деятельностью (а к финансовым, как и иным высоко-рискованным сферам, у регулятора особое отношение), как бы и не имеет проблем (тем более - при объявленном моратории на проверки), приказал ответственному за организацию обработки персональных данных отправить в Роскомнадзор формальный ответ.
Роскомнадзор расценил такой ответ как отписку и «запустил» документарную проверку, потребовав предоставить порядка 30 документов как по обработке, так и по защите персональных данных.
🔥3👍1
Только тогда руководитель компании понял, что дела плохи. Ведь во многих внутренних документах не учтены изменения законодательства в области персональных данных 2022 и 2023 годов, они требуют доработки, а своими силами оперативно этот пробел не закрыть и главное - в реестре Роскомнадзора размещена старая форма их Уведомления. Обновить в короткий 10-дневный срок порядка 20 документов и подготовить для Уведомления и Политики новый раздел «Цели обработки персональных данных», в котором их оказалось более 20, - задачи почти невыполнимая. Те из вас, кто самостоятельно выполнял эту работу, знают, как трудоемко и весьма непросто выполнить требования п.2 ч.1 ст.18.1 ФЗ-152 «О персональных данных».
Поэтому компаниям не стоит откладывать в «долгий ящик» ту обязательную работу с обновлением и подготовкой зарегулированных документов, 13 из которых напрямую попадают под санкции КоАП. Следует помнить, что в новой редакции ст.13.11 КоАП, в том числе, будет предусмотрена часть 10 - о невыполнении или несвоевременном выполнении оператором обязанности по уведомлению Роскомнадзора с наказанием оператора персональных данных в размере 100-300 тыс. рублей или руководителя в размере 30-50 тыс. рублей.
Такова будет цена Уведомления! А нашему клиенту в эти майские дни остается ожидать вердикта Роскомнадзора.
🔥7
РАСПИСАНИЕ обучения на июнь уже на сайте!

Семинары:

✔️ 18.06 "Персональные данные: организация обработки" Подробнее

✔️ 18 - 20.06 "Персональные данные: практическое погружение" Подробнее

✔️ 26.06 "Персональные данные: организация защиты и предупреждение утечек" Подробнее

Повышение квалификации:

✔️ 13.06 "Информационная безопасность организаций и предприятий" Подробнее

✔️ 13.06 "Обеспечение безопасности объектов критической информационной инфраструктуры" Подробнее

✔️13.06 "Информационная безопасность медицинских организаций" Подробнее

✔️ 13.06 "Информационная безопасность: компьютерные атаки и инциденты" Подробнее

Повышение квалификации по программам ФСТЭК:

✔️ 27.05 "Обеспечение безопасности значимых объектов КИИ" Подробнее

Курсы повышения квалификации В.В. Комарова

✔️
14.06. "Особенности защиты информации в ГИС" Подробнее

✔️ 21.06 "Реагирования на компьютерные инциденты" Подробнее

Записаться на обучение:
✉️ info@imoib.ru
📞 +7 (495) 268-13-42
🔥2
РАСПИСАНИЕ обучения на июль уже на сайте!

Семинары:

✔️ 10.07 "Персональные данные: организация защиты и предупреждение утечек" Подробнее

Повышение квалификации:

✔️02.07 "Организация обработки персональных данных в организации и на предприятии" Подробнее

✔️ 04.07 "Особенности обработки персональных данных специалистами отдела кадров с учетом требований Роскомнадзора в 2024 году" Подробнее

✔️ 09.07 "Организация работы с средствами криптографической защиты информации (СКЗИ) в соответствии с требованиями ФСБ РФ" Подробнее

✔️ 11-23.07 "Обеспечение безопасности объектов критической информационной инфраструктуры" Подробнее


Записаться на обучение:
✉️ info@imoib.ru
📞 +7 (495) 268-13-42
Институт МОИБ согласовал со ФСТЭК России следующие программы обучения: 1. программу повышения квалификации специалистов, работающих в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации - в объеме 216 часов 2. программу профессиональной переподготовки "Информационная безопасность. Техническая защита конфиденциальной информации" - в объеме 508 часов 3. программу профессиональной переподготовки "Информационная безопасность. Безопасность значимых объектов критической информационной инфраструктуры" - в объеме 502 часов 4. программу повышения квалификации "Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных" - в объеме 108 часов. https://imoib.ru/institute/news/novye-programmy-obucheniya-po-informacionnoy-bezopasnosti-soglasovannye-so-fstek
Уважаемые коллеги, добрый день! Приглашаем Вас принять участие в анонимном исследовании Института МОИБ, по вопросам организации повышения осведомленности в сфере ИБ в организациях, учреждениях и на предприятиях. Заполните опросник состоящий из 12 вопросов, время заполнения не более 1мин. Благодарим Вас за участие! Опросник
РАСПИСАНИЕ обучения на август уже на сайте!

Новый курс В. Комарова и В.Крашакова

✔️23.08 ""Утечки" персональных данных: реагирование, взаимодействие с регуляторами, организация защиты" Подробнее

Повышение квалификации:


✔️20.08 "Организация обработки персональных данных в организации и на предприятии" Подробнее

✔️ 21.08 "Особенности обработки персональных данных специалистами отдела кадров с учетом требований Роскомнадзора в 2024 году" Подробнее

✔️ 28.08 "Организация работы с средствами криптографической защиты информации (СКЗИ) в соответствии с требованиями ФСБ РФ" Подробнее

✔️22.08 "Обеспечение безопасности объектов критической информационной инфраструктуры" Подробнее

Профессиональная переподготовка

✔️ 26.08 "Информационная безопасность. Техническая защита конфиденциальной информации" в объеме 508 часов. Подробнее

Записаться на обучение:
✉️ info@imoib.ru
📞 +7 (495) 268-13-42
👍1
Уважаемые коллеги! В реестр образовательных организаций ФСТЭК России внесены новые программы повышения квалификации и проф.переподготовки Института МОИБ. Номер в реестре №53.
РАСПИСАНИЕ обучения на сентябрь уже на сайте!

курсы В. Комарова

✔️20.09 "Основы реагирования на компьютерные инциденты и ликвидация последствий компьютерных атак" Подробнее

✔️27.09 ""Утечки" персональных данных: реагирование, взаимодействие с регуляторами, организация защиты" Подробнее

Повышение квалификации:


✔️10.09 "Организация обработки персональных данных в организации и на предприятии" Подробнее

✔️ 12.09 "Особенности обработки персональных данных специалистами отдела кадров с учетом требований Роскомнадзора в 2024 году" Подробнее

✔️19.09 "Обеспечение безопасности объектов критической информационной инфраструктуры" Подробнее

✔️ 25.09 "Организация работы с средствами криптографической защиты информации (СКЗИ) в соответствии с требованиями ФСБ РФ" Подробнее

профессиональная переподготовка

✔️ 30.09 "Информационная безопасность. Техническая защита конфиденциальной информации" в объеме 508 часов. Подробнее

Записаться на обучение:
✉️ info@imoib.ru
📞 +7 (495) 268-13-42
👍3🔥1
РАСПИСАНИЕ обучения на октябрь уже на сайте!

Курсы В. Комарова

✔️ 18.10 "Основы реагирования на компьютерные инциденты и ликвидация последствий компьютерных атак"
Подробнее

✔️ 25.10 "Персональные данные: инциденты - "утечки", взаимодействие с регуляторами"
Подробнее

Повышение квалификации:


✔️ 14.10 "Обеспечение безопасности объектов критической информационной инфраструктуры" Подробнее

✔️ 28.10 "Техническая защита информации ограниченного доступа, не содержащей сведений, составляющие гос. тайну"
Подробнее

✔️ 28.10 "Обеспечение безопасности объектов критической информационной инфраструктуры" Подробнее

Профессиональная переподготовка

✔️ 14.10 "Информационная безопасность. Безопасность значимых объектов критической информационной инфраструктуры"
Подробнее

✔️ 28.10 "Техническая защита информации ограниченного доступа, не содержащей сведений, составляющие гос. тайну"
Подробнее

✔️ 28.10 "Информационная безопасность. Техническая защита конфиденциальной информации"
Подробнее

Записаться на обучение:
✉️ info@imoib.ru
📞 +7 (495) 268-13-42