РАСПИСАНИЕ обучения на май уже на сайте!
Семинары:
✔️ 17.05 "Персональные данные: организация защиты и предупреждение утечек" Подробнее
✔️ 22.05 "Персональные данные: организация обработки" Подробнее
✔️ 28 - 30.05 "Персональные данные: практическое погружение" Подробнее
Повышение квалификации:
✔️ 23.05 "Информационная безопасность организаций и предприятий" Подробнее
✔️ 23.05 "Обеспечение безопасности объектов критической информационной инфраструктуры" Подробнее
Профессиональная переподготовка:
✔️ 27.05 "Информационная безопасность. Техническая защита конфиденциальной информации" Подробнее
Записаться на обучение:
✉️ info@imoib.ru
📞 +7 (495) 268-13-42
Семинары:
✔️ 17.05 "Персональные данные: организация защиты и предупреждение утечек" Подробнее
✔️ 22.05 "Персональные данные: организация обработки" Подробнее
✔️ 28 - 30.05 "Персональные данные: практическое погружение" Подробнее
Повышение квалификации:
✔️ 23.05 "Информационная безопасность организаций и предприятий" Подробнее
✔️ 23.05 "Обеспечение безопасности объектов критической информационной инфраструктуры" Подробнее
Профессиональная переподготовка:
✔️ 27.05 "Информационная безопасность. Техническая защита конфиденциальной информации" Подробнее
Записаться на обучение:
✉️ info@imoib.ru
📞 +7 (495) 268-13-42
imoib.ru
Курсы повышения квалификации | Институт мониторинга и оценки информационной безопасности
Одним из основных направлений деятельности Института мониторинга и оценки информационной безопасности», является проведение курсов повышения квалификации в сфере информационной безопасности. Обучение проводят специалисты-практики, разрабатывающие проекты…
👍3
Полевые заметки: Персональные данные. В организацию пришел новый работник.
В который раз, сдавая проект нашему заказчику по аудиту и обработке персональных данным, ловишь себя на мысли, как непросто быть ответственным за организацию обработки персональных данных, тем более - в компании, где отсутствует штатное структурное подразделение по защите информации.
С момента приема-сдачи проекта ответственный берет на себя нелёгкую ношу, ведь руководство теперь считает, что исполнитель проекта всё разработал, всё подготовил, все точки над И расставил, теперь, товарищ ответственный, бери и действуй!
В такой ситуации, как правило, ответственный остается один на один с «кипой» документов по ПДн и с вопросом: «а что делать дальше со всем этим хозяйством?» и т.д и т.п. Хорошо, если накануне или по ходу проекта, ответственный убедит себя или убедит руководство, что необходимо пройти «азы-основы» на каком-нибудь практическом семинаре или курсе по персональным данным, тогда и система в голове появиться, да и приемка проекта будет более результативной. Но если откровенно, то такой сценарий, - исключение из правил.
На практике, к сожалению, сталкиваемся с обратным. Хотя уже в период проведения нами обследования, анализа обработки и защиты персональных данных, по ходу разработки и согласования с заказчиком ОРД и технической документации и ответственный, и иные должностные лица, соглашаются с тем, что у них появляется более полная картина работы с персональными данными. Они начинают понимать значимость «деталей», «мелочей», которые, как никогда важны. Тем более сейчас, когда обновилась и в ближайшие месяцы еще более ужесточится статья 13.11 КоАП РФ. Всем «как бы все понятно». И вот проект завершен, работы приняты, все сделали выдох и …… и в компании делается пауза.
Жизнь берет свое: все, продолжая заниматься своим основным функционалом, постепенно забывают «о персональных данных», и тут вдруг - в организации приходят новые сотрудники, кому в рамках функционала нужно работать с персональными данными.
Что делать?
Несколько наших советов ответственному:
1. Нужно ознакомить работника с приказом о доступе к персональным данным в ИСПДн «Работники», например, или «Клиенты/Граждане», в зависимости от функционала, и получить его подпись в Листе ознакомления.
2. Нужно ознакомить работника с приказом о местах хранения материальных носителей, содержащих персональные данные (в случае его работы с бумажными документами с ПДн) и получить его подпись в Листе ознакомления.
3. Нужно ознакомить работника с Инструкцией пользователя информационных (ой) систем (мы) и получить его подпись в Листе ознакомления.
4. Нужно ознакомить его с приказом о Правилах работы с персональными данными в организации (данный приказ охватывает все внутренние локальные акты организации по работе с персональными данными и(или) иной конфиденциальной информацией, включая Политику(ки), Положения, Регламенты, Порядки, Инструкции и т.д., как по обработке, так и по защите информации) и получить его подпись в Листе ознакомления с данным приказом. ПОМНИТЕ: при этом работник должен фактически ознакомиться с перечисленными документами!
5. Работнику нужно в первый день подписать «критичные» согласия в письменной форме: при передаче его персональных данных в банк, в рамках зарплатного проекта или перевода всех денежных выплат на личный карт-счет в банк; при передаче его ПДн арендодателю и(или) охранному предприятию, если ведется технический контроль учета доступа на рабочее место сторонними организациями; при передаче его ПДн на корпоративный портал компании, в том числе на корпоративный портал холдинга; при передаче его ПДн в рамках ведения кадрового, бухгалтерского и налогового учета управляющей компанией холдинга или иным внешним подрядчиком; при сборе отделом кадров избыточных ПДн, например копий, сканов документов, когда их хранение в личном деле работника не предусмотрено федеральными отраслевыми нормами; при распространении его ПДн на официальном сайте, например на странице «профиль работника» и т.д.
В который раз, сдавая проект нашему заказчику по аудиту и обработке персональных данным, ловишь себя на мысли, как непросто быть ответственным за организацию обработки персональных данных, тем более - в компании, где отсутствует штатное структурное подразделение по защите информации.
С момента приема-сдачи проекта ответственный берет на себя нелёгкую ношу, ведь руководство теперь считает, что исполнитель проекта всё разработал, всё подготовил, все точки над И расставил, теперь, товарищ ответственный, бери и действуй!
В такой ситуации, как правило, ответственный остается один на один с «кипой» документов по ПДн и с вопросом: «а что делать дальше со всем этим хозяйством?» и т.д и т.п. Хорошо, если накануне или по ходу проекта, ответственный убедит себя или убедит руководство, что необходимо пройти «азы-основы» на каком-нибудь практическом семинаре или курсе по персональным данным, тогда и система в голове появиться, да и приемка проекта будет более результативной. Но если откровенно, то такой сценарий, - исключение из правил.
На практике, к сожалению, сталкиваемся с обратным. Хотя уже в период проведения нами обследования, анализа обработки и защиты персональных данных, по ходу разработки и согласования с заказчиком ОРД и технической документации и ответственный, и иные должностные лица, соглашаются с тем, что у них появляется более полная картина работы с персональными данными. Они начинают понимать значимость «деталей», «мелочей», которые, как никогда важны. Тем более сейчас, когда обновилась и в ближайшие месяцы еще более ужесточится статья 13.11 КоАП РФ. Всем «как бы все понятно». И вот проект завершен, работы приняты, все сделали выдох и …… и в компании делается пауза.
Жизнь берет свое: все, продолжая заниматься своим основным функционалом, постепенно забывают «о персональных данных», и тут вдруг - в организации приходят новые сотрудники, кому в рамках функционала нужно работать с персональными данными.
Что делать?
Несколько наших советов ответственному:
1. Нужно ознакомить работника с приказом о доступе к персональным данным в ИСПДн «Работники», например, или «Клиенты/Граждане», в зависимости от функционала, и получить его подпись в Листе ознакомления.
2. Нужно ознакомить работника с приказом о местах хранения материальных носителей, содержащих персональные данные (в случае его работы с бумажными документами с ПДн) и получить его подпись в Листе ознакомления.
3. Нужно ознакомить работника с Инструкцией пользователя информационных (ой) систем (мы) и получить его подпись в Листе ознакомления.
4. Нужно ознакомить его с приказом о Правилах работы с персональными данными в организации (данный приказ охватывает все внутренние локальные акты организации по работе с персональными данными и(или) иной конфиденциальной информацией, включая Политику(ки), Положения, Регламенты, Порядки, Инструкции и т.д., как по обработке, так и по защите информации) и получить его подпись в Листе ознакомления с данным приказом. ПОМНИТЕ: при этом работник должен фактически ознакомиться с перечисленными документами!
5. Работнику нужно в первый день подписать «критичные» согласия в письменной форме: при передаче его персональных данных в банк, в рамках зарплатного проекта или перевода всех денежных выплат на личный карт-счет в банк; при передаче его ПДн арендодателю и(или) охранному предприятию, если ведется технический контроль учета доступа на рабочее место сторонними организациями; при передаче его ПДн на корпоративный портал компании, в том числе на корпоративный портал холдинга; при передаче его ПДн в рамках ведения кадрового, бухгалтерского и налогового учета управляющей компанией холдинга или иным внешним подрядчиком; при сборе отделом кадров избыточных ПДн, например копий, сканов документов, когда их хранение в личном деле работника не предусмотрено федеральными отраслевыми нормами; при распространении его ПДн на официальном сайте, например на странице «профиль работника» и т.д.
Заключение:
Если Вы ответственный за организацию обработки персональных данных, то Вы отвечаете за действия каждого сотрудника при его работе с конфиденциальной информацией. Ведь в случае инцидента с персональными данными, когда дело дойдет до административного регулирования, и регулятор, и мировой (районный) судья будут принимать решения о санкции, исходя из ваших действий или - вашего бездействия.
Если Вы ответственный за организацию обработки персональных данных, то Вы отвечаете за действия каждого сотрудника при его работе с конфиденциальной информацией. Ведь в случае инцидента с персональными данными, когда дело дойдет до административного регулирования, и регулятор, и мировой (районный) судья будут принимать решения о санкции, исходя из ваших действий или - вашего бездействия.
imoib.ru
Полевые заметки. Персональные данные. В организацию пришел новый работник. | Институт мониторинга и оценки информационной безопасности
В который раз, сдавая проект нашему заказчику по аудиту и обработке персональных данным, ловишь себя на мысли, как непросто быть ответственным за организацию обработки персональных данных, тем более - в компании, где отсутствует штатное структурное подразделение…
Полевые заметки: Как проверка сайта Роскомнадзором привела к документарной проверке компании
С марта 2022 года действует мораторий на проверки в области персональных данных, но это не значит, что инспекторы Роскомнадзора не осуществляют «невидимый» контроль за компаниями. Неожиданности могут подстерегать любого оператора персональных данных.
Один из очередных наших срочных проектов последних недель как раз был связан с плановым контрольным мероприятием Роскомнадзора в одном из регионов ЦФО. Мероприятия систематического наблюдения - это на сегодня единственный легальный вид планового надзорного мероприятия, и итоговый результат такой проверки, когда нет прямого взаимодействия компании и Роскомнадзора, как раз и может привести к непосредственному контакту руководителя организации или ответственного за организацию обработки персональных данных с инспектором Роскомнадзора. Так и произошло в случае, когда нашего клиента пригласили на «ковер» в Управление Роскомнадзора.
И вновь проблема в том, что большинство организаций по незнанию или по забывчивости не открывают на сайте местного регулятора ежегодный План его деятельности, где в разделе «О проведении мероприятий по контролю за обработкой персональных данных, проводимых без взаимодействия с контролируемым лицом» (а попросту - в плане контроля за нашими сайтами) имеется график контрольных мероприятий и список конкретных сфер, сайты предприятий которых будут подвергаться детальному анализу.
Но это только часть проблемы. В конце 2023 года Приказом №720 Минцифры утверждены индикаторы риска в сфере персональных данных. Так вот, если в ходе такого мониторинга сайта организации специальная программа Роскомнадзора найдет 3 и более несоответствий информации, размещенной на сайте, с информацией из Уведомления об обработке персональных данных (которое, кстати, все компании обязаны были обновить), то Роскомнадзор имеет право на проведение внеплановой проверки.
На таком несоответствии информации как раз и «попался» наш новый клиент. В 2022 году, сменив свою основную деятельность, он был выведен ЦБ РФ из реестра микрофинансовых организаций. На своем официальном сайте компания разместила тогда соответствующую информацию, внесла изменения в ряд опубликованных внутренних документов, в том числе и в Политику по обработке и защите персональных данных. Но при этом ответственный за организацию обработки персональных данных не отправил в Роскомнадзор обновленное Уведомление.
В начале 2024 года региональный регулятор провел мониторинг сайтов микрофинансовых организаций, в том числе и сайта нашего клиента (по Уведомлению они относились к таким организациям), и в частности, по ключевым словам, нашел отличие информации на сайте компании от информации в Уведомлении, хотя по факту в 2023 и 2024 годах наш клиент финансовой деятельностью не занимался и соответственно изменил «Цели обработки персональных данных». И вот - как «гром среди ясного неба»: в апреле 2024 года из Роскомнадзора в компанию приходит циркуляр: «О несоответствии требованиям законодательства РФ в области персональных данных».
Генеральный директор, будучи уверенным в том, что он, не занимаясь финансовой деятельностью (а к финансовым, как и иным высоко-рискованным сферам, у регулятора особое отношение), как бы и не имеет проблем (тем более - при объявленном моратории на проверки), приказал ответственному за организацию обработки персональных данных отправить в Роскомнадзор формальный ответ.
Роскомнадзор расценил такой ответ как отписку и «запустил» документарную проверку, потребовав предоставить порядка 30 документов как по обработке, так и по защите персональных данных.
С марта 2022 года действует мораторий на проверки в области персональных данных, но это не значит, что инспекторы Роскомнадзора не осуществляют «невидимый» контроль за компаниями. Неожиданности могут подстерегать любого оператора персональных данных.
Один из очередных наших срочных проектов последних недель как раз был связан с плановым контрольным мероприятием Роскомнадзора в одном из регионов ЦФО. Мероприятия систематического наблюдения - это на сегодня единственный легальный вид планового надзорного мероприятия, и итоговый результат такой проверки, когда нет прямого взаимодействия компании и Роскомнадзора, как раз и может привести к непосредственному контакту руководителя организации или ответственного за организацию обработки персональных данных с инспектором Роскомнадзора. Так и произошло в случае, когда нашего клиента пригласили на «ковер» в Управление Роскомнадзора.
И вновь проблема в том, что большинство организаций по незнанию или по забывчивости не открывают на сайте местного регулятора ежегодный План его деятельности, где в разделе «О проведении мероприятий по контролю за обработкой персональных данных, проводимых без взаимодействия с контролируемым лицом» (а попросту - в плане контроля за нашими сайтами) имеется график контрольных мероприятий и список конкретных сфер, сайты предприятий которых будут подвергаться детальному анализу.
Но это только часть проблемы. В конце 2023 года Приказом №720 Минцифры утверждены индикаторы риска в сфере персональных данных. Так вот, если в ходе такого мониторинга сайта организации специальная программа Роскомнадзора найдет 3 и более несоответствий информации, размещенной на сайте, с информацией из Уведомления об обработке персональных данных (которое, кстати, все компании обязаны были обновить), то Роскомнадзор имеет право на проведение внеплановой проверки.
На таком несоответствии информации как раз и «попался» наш новый клиент. В 2022 году, сменив свою основную деятельность, он был выведен ЦБ РФ из реестра микрофинансовых организаций. На своем официальном сайте компания разместила тогда соответствующую информацию, внесла изменения в ряд опубликованных внутренних документов, в том числе и в Политику по обработке и защите персональных данных. Но при этом ответственный за организацию обработки персональных данных не отправил в Роскомнадзор обновленное Уведомление.
В начале 2024 года региональный регулятор провел мониторинг сайтов микрофинансовых организаций, в том числе и сайта нашего клиента (по Уведомлению они относились к таким организациям), и в частности, по ключевым словам, нашел отличие информации на сайте компании от информации в Уведомлении, хотя по факту в 2023 и 2024 годах наш клиент финансовой деятельностью не занимался и соответственно изменил «Цели обработки персональных данных». И вот - как «гром среди ясного неба»: в апреле 2024 года из Роскомнадзора в компанию приходит циркуляр: «О несоответствии требованиям законодательства РФ в области персональных данных».
Генеральный директор, будучи уверенным в том, что он, не занимаясь финансовой деятельностью (а к финансовым, как и иным высоко-рискованным сферам, у регулятора особое отношение), как бы и не имеет проблем (тем более - при объявленном моратории на проверки), приказал ответственному за организацию обработки персональных данных отправить в Роскомнадзор формальный ответ.
Роскомнадзор расценил такой ответ как отписку и «запустил» документарную проверку, потребовав предоставить порядка 30 документов как по обработке, так и по защите персональных данных.
🔥3👍1
Только тогда руководитель компании понял, что дела плохи. Ведь во многих внутренних документах не учтены изменения законодательства в области персональных данных 2022 и 2023 годов, они требуют доработки, а своими силами оперативно этот пробел не закрыть и главное - в реестре Роскомнадзора размещена старая форма их Уведомления. Обновить в короткий 10-дневный срок порядка 20 документов и подготовить для Уведомления и Политики новый раздел «Цели обработки персональных данных», в котором их оказалось более 20, - задачи почти невыполнимая. Те из вас, кто самостоятельно выполнял эту работу, знают, как трудоемко и весьма непросто выполнить требования п.2 ч.1 ст.18.1 ФЗ-152 «О персональных данных».
Поэтому компаниям не стоит откладывать в «долгий ящик» ту обязательную работу с обновлением и подготовкой зарегулированных документов, 13 из которых напрямую попадают под санкции КоАП. Следует помнить, что в новой редакции ст.13.11 КоАП, в том числе, будет предусмотрена часть 10 - о невыполнении или несвоевременном выполнении оператором обязанности по уведомлению Роскомнадзора с наказанием оператора персональных данных в размере 100-300 тыс. рублей или руководителя в размере 30-50 тыс. рублей.
Такова будет цена Уведомления! А нашему клиенту в эти майские дни остается ожидать вердикта Роскомнадзора.
Поэтому компаниям не стоит откладывать в «долгий ящик» ту обязательную работу с обновлением и подготовкой зарегулированных документов, 13 из которых напрямую попадают под санкции КоАП. Следует помнить, что в новой редакции ст.13.11 КоАП, в том числе, будет предусмотрена часть 10 - о невыполнении или несвоевременном выполнении оператором обязанности по уведомлению Роскомнадзора с наказанием оператора персональных данных в размере 100-300 тыс. рублей или руководителя в размере 30-50 тыс. рублей.
Такова будет цена Уведомления! А нашему клиенту в эти майские дни остается ожидать вердикта Роскомнадзора.
imoib.ru
Полевые заметки: "Как проверка сайта Роскомнадзором привела к документарной проверке компании" | Институт мониторинга и оценки…
С марта 2022 года действует мораторий на проверки в области персональных данных, но это не значит, что инспекторы Роскомнадзора не осуществляют «невидимый» контроль за компаниями. Неожиданности могут подстерегать любого оператора персональных данных. Один…
🔥7
РАСПИСАНИЕ обучения на июнь уже на сайте!
Семинары:
✔️ 18.06 "Персональные данные: организация обработки" Подробнее
✔️ 18 - 20.06 "Персональные данные: практическое погружение" Подробнее
✔️ 26.06 "Персональные данные: организация защиты и предупреждение утечек" Подробнее
Повышение квалификации:
✔️ 13.06 "Информационная безопасность организаций и предприятий" Подробнее
✔️ 13.06 "Обеспечение безопасности объектов критической информационной инфраструктуры" Подробнее
✔️13.06 "Информационная безопасность медицинских организаций" Подробнее
✔️ 13.06 "Информационная безопасность: компьютерные атаки и инциденты" Подробнее
Повышение квалификации по программам ФСТЭК:
✔️ 27.05 "Обеспечение безопасности значимых объектов КИИ" Подробнее
Курсы повышения квалификации В.В. Комарова
✔️ 14.06. "Особенности защиты информации в ГИС" Подробнее
✔️ 21.06 "Реагирования на компьютерные инциденты" Подробнее
Записаться на обучение:
✉️ info@imoib.ru
📞 +7 (495) 268-13-42
Семинары:
✔️ 18.06 "Персональные данные: организация обработки" Подробнее
✔️ 18 - 20.06 "Персональные данные: практическое погружение" Подробнее
✔️ 26.06 "Персональные данные: организация защиты и предупреждение утечек" Подробнее
Повышение квалификации:
✔️ 13.06 "Информационная безопасность организаций и предприятий" Подробнее
✔️ 13.06 "Обеспечение безопасности объектов критической информационной инфраструктуры" Подробнее
✔️13.06 "Информационная безопасность медицинских организаций" Подробнее
✔️ 13.06 "Информационная безопасность: компьютерные атаки и инциденты" Подробнее
Повышение квалификации по программам ФСТЭК:
✔️ 27.05 "Обеспечение безопасности значимых объектов КИИ" Подробнее
Курсы повышения квалификации В.В. Комарова
✔️ 14.06. "Особенности защиты информации в ГИС" Подробнее
✔️ 21.06 "Реагирования на компьютерные инциденты" Подробнее
Записаться на обучение:
✉️ info@imoib.ru
📞 +7 (495) 268-13-42
imoib.ru
Курсы повышения квалификации | Институт мониторинга и оценки информационной безопасности
Одним из основных направлений деятельности Института мониторинга и оценки информационной безопасности», является проведение курсов повышения квалификации в сфере информационной безопасности. Обучение проводят специалисты-практики, разрабатывающие проекты…
🔥2
РАСПИСАНИЕ обучения на июль уже на сайте!
Семинары:
✔️ 10.07 "Персональные данные: организация защиты и предупреждение утечек" Подробнее
Повышение квалификации:
✔️02.07 "Организация обработки персональных данных в организации и на предприятии" Подробнее
✔️ 04.07 "Особенности обработки персональных данных специалистами отдела кадров с учетом требований Роскомнадзора в 2024 году" Подробнее
✔️ 09.07 "Организация работы с средствами криптографической защиты информации (СКЗИ) в соответствии с требованиями ФСБ РФ" Подробнее
✔️ 11-23.07 "Обеспечение безопасности объектов критической информационной инфраструктуры" Подробнее
Записаться на обучение:
✉️ info@imoib.ru
📞 +7 (495) 268-13-42
Семинары:
✔️ 10.07 "Персональные данные: организация защиты и предупреждение утечек" Подробнее
Повышение квалификации:
✔️02.07 "Организация обработки персональных данных в организации и на предприятии" Подробнее
✔️ 04.07 "Особенности обработки персональных данных специалистами отдела кадров с учетом требований Роскомнадзора в 2024 году" Подробнее
✔️ 09.07 "Организация работы с средствами криптографической защиты информации (СКЗИ) в соответствии с требованиями ФСБ РФ" Подробнее
✔️ 11-23.07 "Обеспечение безопасности объектов критической информационной инфраструктуры" Подробнее
Записаться на обучение:
✉️ info@imoib.ru
📞 +7 (495) 268-13-42
imoib.ru
Курсы повышения квалификации | Институт мониторинга и оценки информационной безопасности
Одним из основных направлений деятельности Института мониторинга и оценки информационной безопасности», является проведение курсов повышения квалификации в сфере информационной безопасности. Обучение проводят специалисты-практики, разрабатывающие проекты…
Институт МОИБ согласовал со ФСТЭК России следующие программы обучения: 1. программу повышения квалификации специалистов, работающих в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации - в объеме 216 часов 2. программу профессиональной переподготовки "Информационная безопасность. Техническая защита конфиденциальной информации" - в объеме 508 часов 3. программу профессиональной переподготовки "Информационная безопасность. Безопасность значимых объектов критической информационной инфраструктуры" - в объеме 502 часов 4. программу повышения квалификации "Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных" - в объеме 108 часов. https://imoib.ru/institute/news/novye-programmy-obucheniya-po-informacionnoy-bezopasnosti-soglasovannye-so-fstek
imoib.ru
Новые программы обучения по информационной безопасности согласованные со ФСТЭК России | Институт мониторинга и оценки информационной…
Институт МОИБ согласовал со ФСТЭК России следующие программы обучения: 1. программу повышения квалификации специалистов, работающих в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации - в объеме 216 часов 2. программу…
Уважаемые коллеги, добрый день! Приглашаем Вас принять участие в анонимном исследовании Института МОИБ, по вопросам организации повышения осведомленности в сфере ИБ в организациях, учреждениях и на предприятиях. Заполните опросник состоящий из 12 вопросов, время заполнения не более 1мин. Благодарим Вас за участие! Опросник
РАСПИСАНИЕ обучения на август уже на сайте!
Новый курс В. Комарова и В.Крашакова
✔️23.08 ""Утечки" персональных данных: реагирование, взаимодействие с регуляторами, организация защиты" Подробнее
Повышение квалификации:
✔️20.08 "Организация обработки персональных данных в организации и на предприятии" Подробнее
✔️ 21.08 "Особенности обработки персональных данных специалистами отдела кадров с учетом требований Роскомнадзора в 2024 году" Подробнее
✔️ 28.08 "Организация работы с средствами криптографической защиты информации (СКЗИ) в соответствии с требованиями ФСБ РФ" Подробнее
✔️22.08 "Обеспечение безопасности объектов критической информационной инфраструктуры" Подробнее
Профессиональная переподготовка
✔️ 26.08 "Информационная безопасность. Техническая защита конфиденциальной информации" в объеме 508 часов. Подробнее
Записаться на обучение:
✉️ info@imoib.ru
📞 +7 (495) 268-13-42
Новый курс В. Комарова и В.Крашакова
✔️23.08 ""Утечки" персональных данных: реагирование, взаимодействие с регуляторами, организация защиты" Подробнее
Повышение квалификации:
✔️20.08 "Организация обработки персональных данных в организации и на предприятии" Подробнее
✔️ 21.08 "Особенности обработки персональных данных специалистами отдела кадров с учетом требований Роскомнадзора в 2024 году" Подробнее
✔️ 28.08 "Организация работы с средствами криптографической защиты информации (СКЗИ) в соответствии с требованиями ФСБ РФ" Подробнее
✔️22.08 "Обеспечение безопасности объектов критической информационной инфраструктуры" Подробнее
Профессиональная переподготовка
✔️ 26.08 "Информационная безопасность. Техническая защита конфиденциальной информации" в объеме 508 часов. Подробнее
Записаться на обучение:
✉️ info@imoib.ru
📞 +7 (495) 268-13-42
imoib.ru
Курсы повышения квалификации | Институт мониторинга и оценки информационной безопасности
Одним из основных направлений деятельности Института мониторинга и оценки информационной безопасности», является проведение курсов повышения квалификации в сфере информационной безопасности. Обучение проводят специалисты-практики, разрабатывающие проекты…
👍1
Уважаемые коллеги! В реестр образовательных организаций ФСТЭК России внесены новые программы повышения квалификации и проф.переподготовки Института МОИБ. Номер в реестре №53.
fstec.ru
Перечень организаций, осуществляющих образовательную деятельность - ФСТЭК России
Федеральная служба по техническому и экспортному контролю
РАСПИСАНИЕ обучения на сентябрь уже на сайте!
курсы В. Комарова
✔️20.09 "Основы реагирования на компьютерные инциденты и ликвидация последствий компьютерных атак" Подробнее
✔️27.09 ""Утечки" персональных данных: реагирование, взаимодействие с регуляторами, организация защиты" Подробнее
Повышение квалификации:
✔️10.09 "Организация обработки персональных данных в организации и на предприятии" Подробнее
✔️ 12.09 "Особенности обработки персональных данных специалистами отдела кадров с учетом требований Роскомнадзора в 2024 году" Подробнее
✔️19.09 "Обеспечение безопасности объектов критической информационной инфраструктуры" Подробнее
✔️ 25.09 "Организация работы с средствами криптографической защиты информации (СКЗИ) в соответствии с требованиями ФСБ РФ" Подробнее
профессиональная переподготовка
✔️ 30.09 "Информационная безопасность. Техническая защита конфиденциальной информации" в объеме 508 часов. Подробнее
Записаться на обучение:
✉️ info@imoib.ru
📞 +7 (495) 268-13-42
курсы В. Комарова
✔️20.09 "Основы реагирования на компьютерные инциденты и ликвидация последствий компьютерных атак" Подробнее
✔️27.09 ""Утечки" персональных данных: реагирование, взаимодействие с регуляторами, организация защиты" Подробнее
Повышение квалификации:
✔️10.09 "Организация обработки персональных данных в организации и на предприятии" Подробнее
✔️ 12.09 "Особенности обработки персональных данных специалистами отдела кадров с учетом требований Роскомнадзора в 2024 году" Подробнее
✔️19.09 "Обеспечение безопасности объектов критической информационной инфраструктуры" Подробнее
✔️ 25.09 "Организация работы с средствами криптографической защиты информации (СКЗИ) в соответствии с требованиями ФСБ РФ" Подробнее
профессиональная переподготовка
✔️ 30.09 "Информационная безопасность. Техническая защита конфиденциальной информации" в объеме 508 часов. Подробнее
Записаться на обучение:
✉️ info@imoib.ru
📞 +7 (495) 268-13-42
imoib.ru
Курсы повышения квалификации | Институт мониторинга и оценки информационной безопасности
Одним из основных направлений деятельности Института мониторинга и оценки информационной безопасности», является проведение курсов повышения квалификации в сфере информационной безопасности. Обучение проводят специалисты-практики, разрабатывающие проекты…
👍3🔥1
РАСПИСАНИЕ обучения на октябрь уже на сайте!
Курсы В. Комарова
✔️ 18.10 "Основы реагирования на компьютерные инциденты и ликвидация последствий компьютерных атак"
Подробнее
✔️ 25.10 "Персональные данные: инциденты - "утечки", взаимодействие с регуляторами"
Подробнее
Повышение квалификации:
✔️ 14.10 "Обеспечение безопасности объектов критической информационной инфраструктуры" Подробнее
✔️ 28.10 "Техническая защита информации ограниченного доступа, не содержащей сведений, составляющие гос. тайну"
Подробнее
✔️ 28.10 "Обеспечение безопасности объектов критической информационной инфраструктуры" Подробнее
Профессиональная переподготовка
✔️ 14.10 "Информационная безопасность. Безопасность значимых объектов критической информационной инфраструктуры"
Подробнее
✔️ 28.10 "Техническая защита информации ограниченного доступа, не содержащей сведений, составляющие гос. тайну"
Подробнее
✔️ 28.10 "Информационная безопасность. Техническая защита конфиденциальной информации"
Подробнее
Записаться на обучение:
✉️ info@imoib.ru
📞 +7 (495) 268-13-42
Курсы В. Комарова
✔️ 18.10 "Основы реагирования на компьютерные инциденты и ликвидация последствий компьютерных атак"
Подробнее
✔️ 25.10 "Персональные данные: инциденты - "утечки", взаимодействие с регуляторами"
Подробнее
Повышение квалификации:
✔️ 14.10 "Обеспечение безопасности объектов критической информационной инфраструктуры" Подробнее
✔️ 28.10 "Техническая защита информации ограниченного доступа, не содержащей сведений, составляющие гос. тайну"
Подробнее
✔️ 28.10 "Обеспечение безопасности объектов критической информационной инфраструктуры" Подробнее
Профессиональная переподготовка
✔️ 14.10 "Информационная безопасность. Безопасность значимых объектов критической информационной инфраструктуры"
Подробнее
✔️ 28.10 "Техническая защита информации ограниченного доступа, не содержащей сведений, составляющие гос. тайну"
Подробнее
✔️ 28.10 "Информационная безопасность. Техническая защита конфиденциальной информации"
Подробнее
Записаться на обучение:
✉️ info@imoib.ru
📞 +7 (495) 268-13-42
imoib.ru
Курсы повышения квалификации | Институт мониторинга и оценки информационной безопасности
Одним из основных направлений деятельности Института мониторинга и оценки информационной безопасности», является проведение курсов повышения квалификации в сфере информационной безопасности. Обучение проводят специалисты-практики, разрабатывающие проекты…
Полевые заметки: Индульгенция за НЕзащиту!
Обсуждение поправок ко второму-третьему чтению в Государственной Думе законопроекта о наказании за утечки персональных данных подходит к финалу. Видимо, до конца этого года депутаты обновят статью 13.11 КоАП РФ, и в 2025 год мы войдем с новыми штрафами.
Несколько дней назад один из участников этой дискуссии – Минэкономразвития - предложил любопытную инициативу. При этом нет смысла сейчас комментировать их главное предложение по кратному снижению предложенных после первого депутатского чтения санкций, - какими они окончательно останутся - решать ГД РФ. Что же касается последнего предложения Минэкономразвития о смягчении ответственности компаний, то его позиция вселяет надежду на здравый подход в решении этого вопроса.
Смысл инициативы состоит в том, чтобы законодательно закрепить обстоятельства, смягчающие ответственность операторов персональных данных.
Еще в 2023 году, на первой стадии обсуждения законопроекта об оборотных штрафах при утечках персональных данных, глава Минцифры Максут Шадаев предлагал несколько вариантов мер для бизнеса, чтобы в разы уменьшить размер санкций за утечки персональных данных, применяемых к компаниям. Одной из этих мер было введение некоего понижающего коэффициента при определении размера штрафа, если компания изначально, после инцидента, предложила пострадавшим гражданам соразмерную финансовую компенсацию. Подобную позицию озвучил тогда и Роскомнадзор, заявив, что цель законопроекта – не только увеличение ответственности для операторов, допустивших утечку, но и формирование модели справедливой компенсации гражданам, чьи данные были скомпрометированы. При этом критики такого подхода и сегодня сомневаются в справедливом администрировании подобной компенсации.
МЭР идет дальше и предлагает своеобразный вариант «прощения» компаниям, если они финансово вложились в кибербезопасность. Министерство предложило любопытную систему расчета минимальных вложений в защиту персональных данных, чтобы компания в случае компьютерных инцидентов могла получить по итогам дальнейших разбирательств индульгенцию.
Министерство предлагает потратить оператору персональных данных 0,1% от выручки на все технические мероприятия по защите конфиденциальной информации в организации и, как говорится, «спать спокойно».
Мы предлагаем вам сделать примерный расчет затрат на защиту персональных данных с учетом хотя бы минимального набора технических мер: на лицензионное сертифицированное антивирусное ПО, установленное на все технические средства, на самые экономичные системы контроля защищенности типа Сканера ВС или RedСheck. При этом стоит учитывать только ваши прямые затраты на закупку СЗИ и не рассматривать, как предлагает МЭР, расходы на привлечение организаций-лицензиатов ФСТЭК России, специализирующихся на предоставлении услуг по технической защите информации.
И стоит ответить себе на вопрос: «А наша компания подпадает под возможную индульгенцию?»
Обсуждение поправок ко второму-третьему чтению в Государственной Думе законопроекта о наказании за утечки персональных данных подходит к финалу. Видимо, до конца этого года депутаты обновят статью 13.11 КоАП РФ, и в 2025 год мы войдем с новыми штрафами.
Несколько дней назад один из участников этой дискуссии – Минэкономразвития - предложил любопытную инициативу. При этом нет смысла сейчас комментировать их главное предложение по кратному снижению предложенных после первого депутатского чтения санкций, - какими они окончательно останутся - решать ГД РФ. Что же касается последнего предложения Минэкономразвития о смягчении ответственности компаний, то его позиция вселяет надежду на здравый подход в решении этого вопроса.
Смысл инициативы состоит в том, чтобы законодательно закрепить обстоятельства, смягчающие ответственность операторов персональных данных.
Еще в 2023 году, на первой стадии обсуждения законопроекта об оборотных штрафах при утечках персональных данных, глава Минцифры Максут Шадаев предлагал несколько вариантов мер для бизнеса, чтобы в разы уменьшить размер санкций за утечки персональных данных, применяемых к компаниям. Одной из этих мер было введение некоего понижающего коэффициента при определении размера штрафа, если компания изначально, после инцидента, предложила пострадавшим гражданам соразмерную финансовую компенсацию. Подобную позицию озвучил тогда и Роскомнадзор, заявив, что цель законопроекта – не только увеличение ответственности для операторов, допустивших утечку, но и формирование модели справедливой компенсации гражданам, чьи данные были скомпрометированы. При этом критики такого подхода и сегодня сомневаются в справедливом администрировании подобной компенсации.
МЭР идет дальше и предлагает своеобразный вариант «прощения» компаниям, если они финансово вложились в кибербезопасность. Министерство предложило любопытную систему расчета минимальных вложений в защиту персональных данных, чтобы компания в случае компьютерных инцидентов могла получить по итогам дальнейших разбирательств индульгенцию.
Министерство предлагает потратить оператору персональных данных 0,1% от выручки на все технические мероприятия по защите конфиденциальной информации в организации и, как говорится, «спать спокойно».
Мы предлагаем вам сделать примерный расчет затрат на защиту персональных данных с учетом хотя бы минимального набора технических мер: на лицензионное сертифицированное антивирусное ПО, установленное на все технические средства, на самые экономичные системы контроля защищенности типа Сканера ВС или RedСheck. При этом стоит учитывать только ваши прямые затраты на закупку СЗИ и не рассматривать, как предлагает МЭР, расходы на привлечение организаций-лицензиатов ФСТЭК России, специализирующихся на предоставлении услуг по технической защите информации.
И стоит ответить себе на вопрос: «А наша компания подпадает под возможную индульгенцию?»
imoib.ru
Полевые заметки: Индульгенция за НЕзащиту! | Институт мониторинга и оценки информационной безопасности
Обсуждение поправок ко второму-третьему чтению в Государственной Думе законопроекта о наказании за утечки персональных данных подходит к финалу. Видимо, до конца этого года депутаты обновят статью 13.11 КоАП РФ, и в 2025 год мы войдем с новыми штрафами. Несколько…
РАСПИСАНИЕ обучения на ноябрь уже на сайте!
Курсы В. Комарова:
✔️ 22.11 "Основы реагирования на компьютерные инциденты и ликвидация последствий компьютерных атак"
Подробнее
✔️ 29.11 "Персональные данные: инциденты - "утечки", взаимодействие с регуляторами"
Подробнее
Повышение квалификации:
✔️ 11.11 "Обеспечение безопасности объектов критической информационной инфраструктуры"
Подробнее
✔️ 25.11 "Техническая защита информации ограниченного доступа, не содержащей сведений, составляющие гос. тайну"
Подробнее
Профессиональная переподготовка
✔️ 11.11 "Информационная безопасность. Безопасность значимых объектов критической информационной инфраструктуры"
Подробнее
✔️ 25.11 "Техническая защита информации ограниченного доступа, не содержащей сведений, составляющие гос. тайну"
Подробнее
✔️ 25.11 "Информационная безопасность. Техническая защита конфиденциальной информации"
Подробнее
Записаться на обучение:
✉️ info@imoib.ru
📞 +7 (495) 268-13-42
Курсы В. Комарова:
✔️ 22.11 "Основы реагирования на компьютерные инциденты и ликвидация последствий компьютерных атак"
Подробнее
✔️ 29.11 "Персональные данные: инциденты - "утечки", взаимодействие с регуляторами"
Подробнее
Повышение квалификации:
✔️ 11.11 "Обеспечение безопасности объектов критической информационной инфраструктуры"
Подробнее
✔️ 25.11 "Техническая защита информации ограниченного доступа, не содержащей сведений, составляющие гос. тайну"
Подробнее
Профессиональная переподготовка
✔️ 11.11 "Информационная безопасность. Безопасность значимых объектов критической информационной инфраструктуры"
Подробнее
✔️ 25.11 "Техническая защита информации ограниченного доступа, не содержащей сведений, составляющие гос. тайну"
Подробнее
✔️ 25.11 "Информационная безопасность. Техническая защита конфиденциальной информации"
Подробнее
Записаться на обучение:
✉️ info@imoib.ru
📞 +7 (495) 268-13-42
👍1