Сеть Facebook меняет политику в отношении конфиденциальных данных

  Под давлением канадских властей социальная сеть Facebook согласилась изменить свою политику в отношении конфиденциальных данных. 
  В июле социальную сеть обвинили в том, что она нарушает канадский закон, сохраняя на неопределенный срок личные сведения пользователей ресурса. 
  Теперь Facebook обещает в течение года внести изменения в систему хранения персональных данных. Кроме того, компания заявляет, что отныне не будет скрывать, зачем и какая именно информация собирается. Пользователи будут специально уведомлены о возможности отключать и удалять свои аккаунты. Если профайл дезактивируется, пусть даже на 10 лет, персональная информация будет сохраняться на сайте. А если удаляется, то вместе с учетной записью уничтожатся и все личные данные. 
  Получат пользователи и более совершенные инструменты для контроля сведений, которые выдаются третьим сторонам. С сетью Facebook связаны почти 950 тысяч разработчиков из 180 стран мира, и все они до сих пор имели неограниченный доступ к конфиденциальной информации. Теперь девелоперы должны сообщать, какими именно данными они интересуются, и получать от владельцев аккаунтов разрешение на использование этих сведений. 
  По словам уполномоченного представителя правительства Канады по защите личной жизни граждан Дженифер Стоддарт, изменения в политике Facebook означают, что частная жизнь 200 миллионов пользователей социальной сети в Канаде и по всему миру будет защищена гораздо лучше, чем прежде. Возможно, примеру Facebook вскоре последуют и другие подобные ресурсы.

Источник: net.compulenta.ru

Социальные сети - новый помощник воров-домушников

  Аналитики страхового агентства Legal & General при поддержке одного отставного вора-домушника попытались определить, насколько небрежно относятся пользователи социальных сетей к защите персональных данных, которые могут быть использованы злоумышленниками. Бывалый охотник за чужим имуществом по итогам этого исследования заявил, что посещение сайтов социальных сетей напоминает поход в интернет-магазин, с той лишь разницей, что платить за чужие вещи не приходится. 
  Начнём с того, что от 33% до 38% британцев делятся на своих персональных страницах планами на отпуск или выходные, предоставляя всем имеющим к этому ресурсу доступ злоумышленникам возможность определить, когда хозяев не будет дома. Если какая-то часть "откровенных" жителей Туманного Альбиона ещё проявляет осторожность в размещении информации о периодах своего отсутствия, то 23% из них публикуют такую информацию в разделах, доступных для просмотра всем желающим, а 17% дополняют эти сообщения информацией о своём домашнем адресе. Вору остаётся только уточнить при помощи картографических сервисов расположение подходов к дому и "пойти на дело". 
  Почти половина британских пользователей социальных сетей вообще не обеспокоена вопросами безопасности. Почти 70% участников опроса считают уместным публикацию на своих страницах фотографий с изображениями дорогих вещей и подарков. Почти треть опрошенных видела на страницах профильных сайтов чей-нибудь номер мобильного телефона. Заводить "виртуальных друзей" без особого выяснения их статуса готово от 13% до 92% британцев. Чем моложе человек, тем охотнее он предоставляет свою контактную информацию незнакомцам. Мужчины более небрежны в планах информационной безопасности, чем женщины. Конечно, делать выводы по результатам опроса около 2000 британских пользователей социальных сетей нужно осторожно, но и отечественным завсегдатаям социальных сетей следует задуматься об информационной безопасности.

Источник: overclockers.ru

Конфиденциальность персональных данных – условие создания электронного правительства

  По словам Министра связи и массовых коммуникаций Российской Федерации Игоря Щёголева, важнейшим аспектом в создании электронного правительства является неприкосновенность и сохранность персональных данных граждан. 
  В интервью радиостанции «Эхо Москвы» Игорь Щёголев рассказал, что незаконное хищение и продажа персональных данных граждан Российской Федерации - «это большая беда, целая индустрия и, конечно же, одна из серьезных недоработок государства». Министр отметил, что «наибольшая часть утечек личных данных происходит в результате действий сотрудников в самих компаниях, которые их обрабатывают». В решении этой серьезной проблемы «мы делаем выводы из ошибок, которые допускались в других странах и стараемся перенимать опыт», заявил Игорь Щёголев. 
  По словам Министра в этой связи «мы готовим стандарты, которые будут обязывать все системы, где обрабатываются персональные данные, оснащать системой, защищающей от потокового скачивания». «Хочу обратить внимание, что закон о защите персональных данных был принят не так давно, и только с 2008 года фактически началась практика его применения. В этом году был подготовлен первый доклад и там делаются определенные выводы», - заметил Министр. По его мнению, количество обращений российских граждан в суды по такого рода вопросам пока не велико, и связано, в первую очередь, с незнанием граждан о появлении «нового инструмента, позволяющего отстаивать свои права».

Источник: Пресс-служба Министерства информационных технологий и связи РФ

Мошенники «облегчили» счет главы Федеральной резервной системы (ФРС) США Бена Бернанке на $900

  От мошенников не уберечься даже влиятельным чиновникам. В этом на своем опыте убедился глава ФРС США Бен Бернанке, ставший одним из сотен пострадавших от крупной банды мошенников, которые, получив доступ к персональным данным клиентов банков, украли в общей сложности более $2 млн у организаций и физических лиц. Бернанке лишился $900.
http://www.gazeta.ru/social/2009/08/27/3240989.shtml

Источник: gazeta.ru

И снова АРБ призывает отложить реализацию требований закона о персональных данных

  В очередной раз Ассоциация российских банков (АРБ) предлагает перенести сроки реализации требований закона № 152-ФЗ "О персональных данных" на один год из-за имеющихся нерешенных вопросов, недостатка опыта по практическому применению его положений и подзаконных актов как у операторов, так и у контролирующих органов, а также масштабами использования персональных данных в условиях имеющихся временных ограничений и отсутствия подготовленных кадров.

  Для банковского сектора причины данной просьбы в основном аналогичны причинам, возникающим у операторов других отраслей:
   - сложности с внесением изменений в существующие бизнес-процессы (причем существенных изменений),
   - необходимость привлечения дополнительных ресурсов (материальных, человеческих),
   - отсутствие квалифицированного персонала.

  Как и следовало ожидать регуляторы в лице Роскомнадзора и ФСТЭК против этого предложения и аргументация у них общеизвестная и достаточно железная…

В Пермском крае мировой суд наказал мэра за разглашение персональных данных

  Глава Гремячинского городского поселения Сергей Бердников опубликовал в местной газете "Шахтер" списки злостных коммунальных должников. Свою статью под названием "Завтра можем остаться без тепла" Бердников сопроводил пофамильным списком лиц, имеющих задолженность по оплате коммунальных услуг более трех месяцев. Причем, в списке были указаны не только фамилии, имена, отчества, а также сумма накопленного долга, но и домашние адреса должников.
  Прокуратура Гремячинска посчитала, что глава грубо нарушил Федеральный закон РФ "О персональных данных", не получив согласия субъектов права на подобную публикацию. Прокурор Гремячинска возбудил дело об административном правонарушении и передал его для рассмотрения в суд. Мировой судья на первый раз не стал сурово карать мэра и привлек его к административной ответственности в виде предупреждения.
  Впрочем, у администрации городского поселения своя логика. Сейчас в "черном списке" коммунальных должников числятся 1245 человек, и за ними долг - 8,5 миллионов рублей. Гремячинцы оплачивают лишь 80 процентов коммунальных квитанций.
  - Хочу отметить, что никто из должников, чьи фамилии были опубликованы в газете, не обратился с жалобой в прокуратуру, - сказал "РГ" Сергей Бердников. - Даже сами должники отнеслись к нашему шагу с пониманием. Прокуратура возбудила административное дело по своей инициативе. Но публикация списка помогла сократить сумму накопленного горожанами долга, а городу - полностью рассчитаться по долгам с энергетической компанией в канун отопительного сезона. Сегодня перечисляем за тепло 1,5 миллиона рублей.

Источник: rg.ru

Россияне не верят в возможность защиты персональных данных на интернет-порталах

  МОСКВА, 26 августа. /ПРАЙМ-ТАСС/. Россияне не верят в возможность защиты персональных данных, размещаемых на интернет-порталах, тогда как нарушения в этой области - "достаточно большая беда", считает министр связи и массовых коммуникаций РФ Игорь Щеголев. "Число обращений наших граждан в суды по такого рода вопросам не такое большое. Это означает, что они еще не почувствовали, что у них появился инструмент отстаивать свои права", - сказал он в интервью радиостанции "Эхо Москвы".
  И.Щеголев считает, что это - "одна из серьезных недоработок государства, что те стандарты, которые внедрялись по защите персональных данных, пока должного эффекта не приносят".
  Министр обратил внимание на то, что "закон о защите персональных данных был принят не так давно, и только с 2008 года фактически началась практика его применения". "В этом году нашей службой по надзору был подготовлен первый доклад, и там уже делаются определенные выводы", - пояснил И.Щеголев. "Мы рассчитываем на то, что будет наработана правоприменительная практика, которая покажет слабину в действующем правовом поле", - цитирует ИТАР-ТАСС слова министра

Источник: prime-tass.ru

Способен ли среднестатистический оператор ПДн подготовить информационную систему персональных данных своей организации собственными силами?

  Евгений Царев в своем блоге поднял достаточно интересную тему, которую можно было сформулировать следующим образом: «А способен ли среднестатистический оператор самостоятельно подготовить свою информационную систему в соответствии с требованиями законодательства о защите персональных данных? И что этому мешает?».
  Одним из основных способов сокращения затрат на подготовку ИСПДн является проведение части работ по обследованию и части аналитических работ собственными силами. Конечно, это сложно осуществить, если в штате нет подготовленных специалистов. А может ли стать выходом из данной ситуации обучение этих специалистов на краткосрочных курсах повышения квалификации? Мой опыт говорит о том, что данные курсы помогаю только, с одной стороны, систематизировать имеющиеся у слушателей знания и понять специфические моменты рассматриваемого вопроса и, с другой стороны, получить корочку об образовании.
  Буквально на днях я вернулся из очередной командировки, в течение которой удалось пообщаться с представителями муниципальных образований по подготовке их ИСПДн требованиям ФЗ 152. Был задан вопрос, а как мы можем начать подготовку, когда сертифицированные средства защиты стоят дорого и что никто не выделяет денег и т.п.? Ну что можно было ответить на этот вопрос. Не скажешь же им, сидите и ждите окончания кризиса… В первую очередь им необходимо описать все процессы, в которых участвуют ПДн (лучше самих сотрудников организации это никто не сможет сделать), проанализировать документы для сбора информации об автоматизированных и неавтоматизированных способах обработки ПДн, проанализировать собранную информацию, привести в соответствие все документы. После этого совместно с консультантами разработать модели угроз и разработать рекомендации по построению системы защиты ПДн и уже только после этого думать про закупку необходимых сертифицированных средств защиты и, в случае необходимости, аттестацию.
  Ситуацию усугубляет и тот факт, что идет периодическое сокращение кадров. Буквально на днях поступило очередное распоряжение в гос.органах сократить 10% штата. Обычно кого сокращают? Автоматизаторов и ИТ-специалистов. О какой новой штатной единице (ИБ-специалиста) в данной ситуации может идти речь? Вот и думай, как сокращать расходы на приведение ИСПДн требованиям законодательства путем выполнения части работ собственными силами.

Прокуратурой выявлены нарушения мэрией г.о.Тольятти законодательства о персональных данных

  Проведенной прокуратурой города Тольятти проверкой установлено, что в апреле 2009 года постановление мэрии городского округа от 01.04.2009 «О выплате премий городского округа Тольятти за достижения в области журналистики по итогам 2008 года», включая приложение № 1 к данному постановлению, в котором содержались персональные сведения получателей премии (не только ф.и.о., но и паспортные данные, номер пенсионного страхового свидетельства, адрес регистрации) были размещены на сайте мэрии. Согласие на опубликование персональных данных от получателей премии мэрией получено не было.
  В соответствии с Федеральным законом «О персональных данных» к персональным данным относится любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе его фамилия, имя, отчество, год, месяц, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
  Согласно требованиям данного закона операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев обезличивания персональных данных, а также в отношении общедоступных персональных данных.
  По выявленным нарушениям прокурором города в адрес мэра внесено представление.
  Акт прокурорского реагирования находится на рассмотрении.

Источник: prokuror.samara.ru

Миннеаполис. Хакеры взломали компьютерную систему отелей Radisson, украли данные клиентов

  Хакеры совершили нападение на компьютерную сеть отелей Radisson Hotels & Resorts и украли персональные данные клиентов, в том числе, данные о кредитных картах. Атака была предпринята накануне.
  Radisson не сообщает о том, данные скольких клиентов были украдены, однако сейчас сеть отелей рассылает соответствующие уведомления о происшествии тем, кто может быть скомпрометирован, передает Associated Press. По данным осведомленных источников, похищена база данных клиентов, которые пользовались услугами Radisson в период с ноября 2008 года по май 2009 года. Не исключено, что в их числе могут оказаться известные люди. 
  Расследованием преступления занялись полиция и ФБР США. Подробности пока не разглашаются. Radisson, которая владеет болеем чем 400 гостиницами почти в 70 странах мира, предпринимает дополнительные меры безопасности для предотвращения повторения подобной атаки.

Источник: k2kapital.com

Управлением Роскомнадзора по Саратовской области выявлены нарушения законодательства в области персональных данных

  Управление Роскомнадзора по Саратовской области провело плановую проверку соблюдения законодательства в области обработки персональных данных Министерством строительства и ЖКХ Правительства Саратовской области.
  Установлено, что деятельность Министерства по обработке персональных данных осуществляется с нарушениями действующего законодательства. 
  1. Форма согласия субъектов персональных данных, используемая оператором, не содержит обязательных сведений, предусмотренных ч. 4 ст. 9 Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных». 
  2. Оператор не уведомил уполномоченный орган по защите прав субъектов персональных данных об изменениях сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, что противоречит ч. 7 ст. 22 Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных». 
  По результатам проверки вынесены предписания об устранении нарушений законодательства в области обработки персональных данных.

Источник: rsoc.ru

Почему операторы ПДн не регистрируются в качестве таковых?

  Буквально вчера вернулся из очередной командировки, на которой удалось пообщаться со специалистом Роскомнадзора. Регион достаточно большой (по некоторым соображениям не буду его называть) и в Управлении Роскомнадзора только один человек (очаровательная девушка), который выделен для защиты прав субъектов ПДн. При этом на ее хрупкие плечи возложена просветительская работа, обработка уведомлений, консультирование субъектов и операторов и т.п. Все, о чем я узнал от нее, думаю, сейчас характерно для вех регионов. В этом регионе насчитывается более 21000 операторов, а подали уведомления менее 800. Получается, что зарегистрировалось менее 4% операторов. Все уведомления присылаются в бумажном виде и их необходимо проверить, ответить оператору и, если все нормально, отправить на проверку в центральное Управление РКН. Только после этого уведомление регистрируется в РКН и в течение 30 суток оператор заносится в реестр.
  Опыта правоприменительной практики в данном регионе нет. Т.е. нет внеплановых проверок по жалобам и нет плановых проверок. Думаю, что основные проверки начнутся с февраля 2010 года.
  Какие-либо штрафные санкции это Управление не накладывает, т.к. этим, во-первых, некому у них заниматься, и, во-вторых, ни копейки из этих денег не останется в Управлении.

В Краснодаре за нарушение законодательства о персональных данных к административной ответственности привлечено ОАО «МТС»

  Мировой судья Западного округа г. Краснодара вынес постановление о назначении административного наказания ОАО «Мобильные ТелеСистемы» за нарушения установленного Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
  Основанием для вынесения постановления послужили результаты плановой проверки, проведенной Управлением Роскомнадзора по Краснодарскому краю. Было установлено, что ООО «МТС» осуществляет деятельность с нарушением п. 4 ст. 6 Федерального закона «О персональных данных». В договорах коммерческого представительства и агентских договорах, которые заключает ОАО «МТС», отсутствует существенное условие обязанности обеспечения третьим лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке. Также отсутствует информирование лиц, осуществляющих обработку персональных данных, о факте обработки ими персональных данных, категориях обрабатываемых ими персональных данных, особенностях и правилах такой обработки, что является нарушением п. 6 постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». 
  Кроме того, форма письменного согласия физического лица (абонента) на обработку своих персональных данных, содержащаяся в договоре на предоставление услуг связи ОАО «МТС» и прилагаемых документах, не соответствует требованиям ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
  Таким образом, юридическое лицо – ОАО «МТС», совершило административное правонарушение, ответственность за которое предусмотрена ст. 13.11 КоАП РФ. Исследовав все обстоятельства дела, мировой судья Западного округа г. Краснодара вынес постановление о назначении административного наказания в виде штрафа в размере 5 тыс. рублей.

Источник: rsoc.ru

В Великобритании два человека осуждены за отказ расшифровывать данные

  Два человека были осуждены за отказ предоставить властям Великобритании ключи, необходимые для расшифровывания информации. Они могли получить приговоры, предусматривающие наказание вплоть до пяти лет лишения свободы. Британское правительство сообщило о том, что о их судьбе ему ничего не известно. 
  Полномочия привлекать граждан к ответственности за отказ расшифровывать информацию в ходе следствия появились у властей этой страны в октябре 2007 года. Как стало известно из опубликованного недавно ежегодного доклада главы правительственной комиссии по надзору сэра Кристофера Роуза, за период между первым апреля 2008 года и тридцать первым мая 2009 года по данной статье было вынесено два обвинительных приговора. 
  Чтобы иметь возможность воспользоваться поправкой, предусматривающей привлечение к ответственности за отказ расшифровывать информацию, полицейские обязаны сначала обратиться в Национальный центр технической помощи (NTAC). Сайт этой организации указывает на то, что она является частью Министерства внутренних дел, однако на самом деле это учреждение расположено на территории секретного правительственного хакерского центра GCHQ.
  В NTAC подтвердили 26 случаев обращений, связанных с новой поправкой, в 17 из которых судьи дали соответствующим делам дальнейший ход.

Источник: xakep.ru

Интересные приключения «Лаборатории Касперского» и «Доктора Веба»

  После начала триумфального шествия «Касперского» в качестве одного из лидеров разработчиков систем антивирусной защиты (даже президент приглашал Касперского в Кремль и т.п.) на них накатали жалобу в ФАС.
  По словам ФАС, их служба рассматривает соответствие политики продаж вендоров антимонопольному законодательству. ФАС беспокоит тот факт, что официальные дистрибуторы «Касперского» не могут конкурировать между собой.
  В случае с конкурентом «Касперского», дело против «Доктора Веба» пока не возбуждали: вопрос только изучается. Пока одни компании (Leta IT-Company) становятся партнерами «Доктора Веба», другие же катают жалобы в ФАС: «Насколько мы знаем, жалобу конкретно на компанию „Доктор Веб“ подала компания „Информзащита“, не являющаяся нашим партнером, попытавшись, видимо, таким образом решать свои проблемы в ИТ-бизнесе, — рассказал CNews Борис Шаров, генеральный директор „Доктор Веб“. — С сутью жалобы мы ознакомлены, она у нас вызвала, мягко говоря, удивление. По всей видимости, ФАС хочет, чтобы компании конкурировали между собой ценами, а не услугами, которые они предлагают. Не уверен, что это пойдет рынку на пользу» .
   Что же это на самом деле? Происки конкурентов или кляузы обиженных клиентов?

Бесплатная on-line конференция «Планирование и контроль в области корпоративной информационной безопасности»

   Академия Информационных Систем совместно с компанией Инфосистемы – Джет 20 августа 2009 года проводит вебинар (on-line конференцию) по теме "Планирование и контроль в области корпоративной информационной безопасности".
Участие в вебинаре бесплатное.
Количество подключений ограничено и предварительная регистрация обязательна.
Начало вебинара в 16:00. Продолжительность – 1,5 часа.

На мероприятии планируется обсуждение следующих вопросов:
1. Аудит и консалтинг информационной безопасности. В чём разница?
2. Результаты аудита и консалтинга:
2.1. Какие бывают результаты:
- Стратегия информационной безопасности
- Документация по информационной безопасности
- Уязвимости и рекомендации
- Анализ рисков
- Подготовка к финансовым аудитам
- Внедрение режима коммерческой тайны
- Ролевые модели
2.2. Бизнес-цели или как определить, какие результаты необходимы?
3. Организация процесса аудита/консалтинга
- Планирование границ и базовый анализ рисков
- Формирование рабочих групп
- Организация взаимодействия
4. Сбор данных в ходе аудита/консалтинга
4.1. В чем разница между аудитом и консалтингом?
4.2. Определение необходимой глубины сбора.
4.3. Методы сбора информации:
- Интервью
- Анкетирование
- Инструментальные проверки
- Тесты на проникновение
- Анализ иерархий и конфигураций
- Контроль знаний персонала
4.4. Как проводить интервью:
- Модель Майерс-Бриггс
- Другие психологические аспекты
- Вопросы или темы?
- Документирование
4.5 Инструментальные проверки
- Что и зачем проверять?
- Как проверять?
5. Анализ данных в ходе аудита/консалтинга
5.1. Разработка Стратегии (BIA, SWOT, TOWS-матрицы, наследие Нортона и
Каплана)
5.2. Разработка документов (ландшафт, определение подходов)
5.3. Анализ рисков
5.4. Уязвимости и рекомендации (угроза - уязвимость - последствия - критичность - адекватная защита)
6. Подготовка отчёта
6.1. Как представить информацию
6.2. Как провести презентацию результатов
6.3. Анализ результатов аудита

Формат проведения вебинара следующий:
1. Доклада на 60 минут.
2. Ответы на вопросы, дискуссия.

Для регистрации на вебинар просьба направить запрос в свободной форме по адресу security@infosystem.ru

Роскомнадзор требует прекратить пугать его именем в рекламных материалах

  Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций /Роскомнадзор/ распространила заявление о недопустимости упоминания надзорного органа для получения коммерческой выгоды, сообщает ПРАЙМ-ТАСС.
  Как указывается в заявлении, в настоящее время ряд организаций осуществляет рассылку материалов рекламного характера, в которых, наряду с предложением своих услуг по приведению информационных систем персональных данных в соответствие с законом "О персональных данных", упоминается о плановых проверках Роскомнадзора и юридической ответственности за нарушение требований данного закона.
  При этом указанные организации позиционируются как "доверенные" или "уполномоченные" лица Роскомнадзора, что вводит в заблуждение получателей рекламных материалов: у них может сложиться впечатление, что за нежеланием сотрудничать с вышеуказанными организациями последуют административные меры со стороны надзорного органа.
  Роскомнадзор заявляет, что не существует "доверенных" или "уполномоченных" организаций, которые от его имени или по его поручению оказывают те или иные услуги.
  Упоминание Роскомнадзора в рекламных материалах с целью получения коммерческой выгоды неприемлемо.
  Роскомнадзор требует незамедлительно прекратить подобную практику. В противном случае, соответствующие материалы будут направляться в правоохранительные органы.
  В случае поступления подобных рекламных материалов и предложений ведомство просит сообщить о данном факте в Роскомнадзор или его территориальный орган. Своевременное информирование надзорного органа позволит оградить адресата возможного обмана и злоупотреблений.
  Кроме того, Роскомнадзор обращает внимание на то, что на интернет-сайтах, посвященных вопросам информационной безопасности, появляются сообщения о проведении конференций, семинаров, форумов в области персональных данных с участием представителей Роскомнадзора до получения от них официального согласия. Тем самым, организаторы указанных мероприятий вводят в заблуждение их потенциальных участников. Официальная информация об участии представителей Роскомнадзора в подобных мероприятиях будет размещена на Интернет-сайте Роскомнадзора.

Источник: lenizdat.ru

В Республике Татарстан выявлены нарушения законодательства о персональных данных

  Управление Роскомнадзора по Республике Татарстан провело плановую проверку соответствия обработки персональных данных требованиям законодательства Российской Федерации в Военном комиссариате Алексеевского района Республики Татарстан.
  В результате выявлено пять нарушений, три из которых были устранены в период проведения проверки. Два нарушения отражены в Акте проверки соблюдения соответствия обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных ВК Алексеевского района: 
  1. Несоблюдение оператором условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ - использование электронных носителей информации, не оснащенных системой защиты (нарушен пункт 15 Постановления Правительства Российской Федерации от 15.09.2008г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»). 
  2. Отсутствие в текстах договоров существенного условия об обеспечении конфиденциальности и безопасности персональных данных при их обработке по поручениям Алексеевским (районным) отделением Сбербанка РФ (оказание банковских услуг с использованием пластиковых карт), территориальным (районным) органом (учреждением) федеральной налоговой службы, органами медицинского страхования, пенсионного и социального обеспечения (нарушена часть 4 статьи 6 Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных»). 
  Выявленные нарушения должны быть устранены до 25 августа.

Источник: rsoc.ru

Управление «К» недовольно сетью «ВКонтакте»

  Популярная социальная сеть «ВКонтакте» подверглась резкой критике со стороны российской киберполиции – управления «К» МВД России. По мнению правоохранительных органов, на этот ресурс приходится более половины выявленной в Интернете детской порнографии.
  «Только с начала 2009 года управлением «К» совместно с некоммерческим фондом «Дружественный Рунет» закрыто 1409 ресурсов, содержащих порнографические материалы с участием несовершеннолетних, из которых более половины (870) единиц контента располагались на ресурсе «ВКонтакте», - цитирует «Интерфакс» слова официального представителя управления Ирины Зубаревой.
  Она также выразила удивление позицией администрации соцсети, «которая делает вид, что не замечает свободного распространения антисоциальных и противоправных материалов на своих технических площадках».
  В свою очередь исполнительный директор сети «ВКонтакте» Лев Левиев заверил, что администрация ресурса сотрудничает с правоохранительными органами. «К нам ежедневно поступают десятки запросов из правоохранительных органов. В соответствии с законом «О милиции» мы предоставляем всю необходимую информацию и удаляем противоправные материалы», – рассказал он, пояснив, что «половина порнографического контента приходится на сеть «ВКонтакте» по той причине, что нам принадлежит половина трафика Рунета».
  Напомним, что это не первая неприятность, постигшая сайт популярной социальной сети. Так, несколько дней назад троянский компьютерный вирус лишил паролей десятки тысяч его пользователей. Им достаточно было просто зайти на сайт, чтобы пароль к аккаунту оказался в базе данных неустановленных хакеров.

Источник: Asfera.info

Британские школьницы будут расплачиваться в кафетерии с помощью биометрической системы

  Оплачивать ланчи в кафетерии с помощью идентификации по отпечаткам пальцев этой осенью начнут воспитанницы британской школы Nonsuch. Ввод биометрической системы в эксплуатацию намечен на начало приближающегося учебного года.
  Председатель управляющего школой совета Донна Эванс (Donna Evans) направила родителям каждой из своих подопечных письмо, в котором подчеркивает, что члены совета удовлетворены тем, как будет работать биометрическая система. Эта система не станет хранить реальные изображения отпечатков пальцев, и ее юным пользовательницам будет гарантирована безопасность их персональных биометрических данных.
  Донне Эванс вторят представители компании, внедрившей биометрическую систему. Они поясняют, что с помощью алгоритма идентификации изображения отпечатков пальцев преобразуются в цифровую модель, и превратить модель в изображение уже невозможно. Кроме того, с переходом на биометрические технологии оплата ланчей будет осуществляться безналичным путем, и школьницам не придется носить с собой деньги.
  В школе Nonsuch обучаются только девочки, и она считается одним из самых элитарных учебных заведений Британии. Школа расположена на юге Англии, в графстве Суррей, известном тем, что здесь по воле Джоан Роулинг разместился дом семейства Дурслей — опекунов Гарри Поттера. Возможно, это соседство поможет школьницам Nonsuch быстрее освоить биометрические технологии, которые совсем недавно тоже считались чем-то фантастическим.

Источник: BIOMETRICS.RU

Бесплатный вебинар «Как бороться с дебиторской задолженностью?»

  Академия Информационных Систем совместно с Международным центром КТК 13 августа 2009 года проводит бесплатный вебинар (on-line конференцию) по теме "Основы эффективной работы с ДЕБИТОРСКОЙ ЗАДОЛЖЕННОСТЬЮ".
  Предварительная регистрация обязательна.
  Начало вебинара в 15:00. Продолжительность – 2 час.
  Вебинар адресован специалистам по возврату долгов, менеджерам по продажам, руководителям отделов продаж, собственникам бизнеса и индивидуальным предпринимателям, а также всем, кому небезразлична эта тема.
  В результате вебинара Вы:
  - Сформируете схему ведения переговоров с клиентами и потребителями по возврату долгов;
  - Получите психологические основы ведения переговоров по возврату долгов;
  - Составите основы плана работы по своевременному погашению долгов;
  Формат проведения вебинара следующий:
  1. Два доклада по 50 минут.
  2. Ответы на вопросы, дискуссия.
  На мероприятии планируется обсуждение следующих вопросов:
  - Психологические аспекты в управлении дебиторской задолженностью:
  --- Досрочный возврат дебиторской задолженности. Переговоры по возврату долга. Аргументация при работе с должниками. Система мер по своевременному возврату дебиторской задолженности.
  - Технология управления дебиторской задолженностью:
  --- Стадии дебиторской задолженности. Инструменты возврата дебиторской задолженности.
  --- Бухгалтерские и налоговые риски при работе с дебиторской задолженностью.
  --- Правовое обеспечение возврата долгов.
  --- Документационное обеспечение работы с дебиторской задолженностью.
  - Примеры работы с дебиторской задолженностью.

  Для регистрации на вебинар просьба направить соответствующий запрос в свободной форме по адресу security@infosystem.ru

Газету «Дворник» обвинили в нарушении закона о персональных данных

  Прокуратура Ленинградского района признала газету «Дворник» виновной в нарушении закона о персональных данных. Как сообщили корреспонденту «Калининград.Ru» в пресс-службе региональной прокуратуры, газета незаконно опубликовала список должников по оплате за коммунальные услуги с указанием персональных данных неплательщиков. В публикациях были сведения о фамилиях, инициалах, адресе проживания и размере долга конкретных лиц.
  Установлено, что эти списки были опубликованы редакцией газеты «Дворник» по соглашению о размещении рекламного текста с МУП «Калининградтеплосеть». Однако по закону «О персональных данных» фамилия, адрес, а также другая информация о физическом лице относятся к персональным данным. Их распространение не допускается без согласия владельца этих данных или наличия законного основания. Таким образом, публикации с указанием персональных данных граждан без их согласия противоречит требованиям закона. 
  Прокурором района внес представления в адрес директора МУП «Калининградтеплосеть» и главного редактора ООО «Дворник Калининградский» об устранении допущенных нарушений.

Источник: "Калининград.Ru"

Информационную безопасность в Курске приведут в порядок

  Накануне в Курске под председательством заместителя губернатора-Управляющего делами администрации области Владимира Бойцова состоялось заседание Комиссии по информационной безопасности.
  Заместитель директора департамента информационно-коммуникационных технологий, связи и безопасности информации области Владислав Елагин доложил о реализации на территории региона требований федерального закона «О персональных данных» в процессе создания и эксплуатации информационных систем Курской области. 
  Указанным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемых федеральными органами государственной власти, органами государственной власти субъектов РФ, иными госорганами, органами местного самоуправления, не входящими в систему органов местного самоуправления, муниципальными органами, юридическими и физическими лицами.
  Цель закона - обеспечить защиту прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Так, информационные системы персональных данных, созданные до вступления закона в силу, должны быть приведены в соответствие с требованиями настоящего федерального закона не позднее 1 января 2010 года.

Источник: Курсквеб.Ру

Академия Информационных Систем внедряет новый формат обучения на рынке образования

  В середине июля 2009 года Академия Информационных Систем (входит в ГК «Стинс Коман») совместно с компанией «Инфосистемы Джет» провели первый вэбинар, посвященный теме «Управление непрерывностью бизнеса». В ближайшем будущем Академия планирует на постоянной основе проводить курсы в online-режиме. 
  Вэбинар – одна из разновидностей вэб-конференций, заключающаяся в проведении семинаров или встреч в режиме реального времени. Во время веб-конференции каждый из участников находится у своего компьютера, а связь между ними поддерживается через Интернет посредством загружаемого приложения, установленного на компьютере каждого участника, или через веб-приложение. Помимо лекции в аудио- или видео-формате вэбинар предусматривает возможность просмотра презентации, общения в чате, а также проведение опросов и голосований. Таким образом, слушатель максимально вовлечен в процесс обучения и общения с преподавателями.
  Данный формат имеет ряд неоспоримых преимуществ, касающихся существенного сокращения затрат как организатора обучения, так и самих слушателей. Так, абсолютно нивелируется факт региональной удаленности участников – единственным условием является наличие Интернета. С другой стороны, появляется возможность более эффективно оптимизировать свое время, получая образование без отрыва от работы. В-третьих, программное обеспечение расширяет границы обычной лекции, позволяя параллельно просматривать презентации, проводить опросы и голосования, загружать вспомогательный материал и т.д.
  Первый вэбинар проводился Академией в тестовом режиме с целью отработки формата взаимодействия между лектором и слушателями. Количество зарегистрированных участников составило 25 человек, а обучение длилось 1,5 часа, в течение которых преподаватели в полном объеме осветили вопросы управления непрерывностью бизнеса, озвучили проблематику обеспечения непрерывности ключевых услуг и выполнения обязательств перед третьими сторонами.
  «Данное мероприятие вызвало живой интерес среди участников обучения, - отметил Юрий Малинин, ректор Академии Информационных Систем. – Мы прогнозируем большие перспективы для вэбинаров, поскольку они обладают высокой эффективностью с точки зрения получения образования, а также имеют ряд неоспоримых преимуществ, существенно расширяющих возможности саморазвития и повышения квалификации наших слушателей. В ближайшее время мы планируем организацию вэбинаров, посвященных защите персональных данных, международным системам менеджмента, управлению рисками информационной безопасности и другим не менее актуальным темам. Уже сейчас мы наблюдаем рост заявок на участие в наших вэбинарах, причем вне зависимости от региона проживания слушателей».

Источник: АИС

Южноуральская прокуратура прокомментировала «спам» страховой компании (или неправомерная передача персональных данных)

  Прокуратурой Челябинской области проведена проверка законности рассылки населению извещений и страховых полисов компании «Дельта».
  В связи с сообщениями средств массовой информации о получении гражданами извещений и страховых полисов добровольного страхования компании «Дельта» прокуратурой Челябинской области проведена проверка соблюдения требований Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных». 
  Согласно закону любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация относится к персональным данным этого лица. Действия с персональными данными могут осуществляться оператором только с согласия субъектов персональных данных. 
  Установлено, что в мае 2009 года между открытым акционерным обществом Страховая компания «Дельта» и обществом с ограниченной ответственностью «Городской центр начисления коммунальных платежей» заключен договор, по условиям которого ООО «Городской центр начисления коммунальных платежей» приняло на себя обязанность по начислению страхового взноса, распечатке и рассылке специальных квитанций – страховых полисов ОАО СК «Дельта». Персональные данные граждан предметом договора не являются, и не передаются центром в распоряжение страховой компании. Оснований для применения мер прокурорского реагирования не имеется. Граждане вправе согласиться с предложением ООО «Городской центр начисления коммунальных платежей» оплатить страховые взносы либо отказаться от оплаты.

Источник: fedpress.ru

О новых правах и новых правилах

  Достаточно интересное интервью Замначальника отдела Департамента обеспечения безопасности дорожного движения (ДОБДД) МВД РФ Дмитрия Желтенкова "Интерфаксу" опубликовано в http://www.interfax.ru/txt.asp?sec=1483&id=93411.

  ВОПРОС "Интерфакса": Будут ли новые права содержать персональные данные о водителе и смогут ли они заменить собой паспорт? 

  ОТВЕТ: Пока штрих-код будет повторять информацию, которая содержится в бланке водительского удостоверения. Хотя возможность внедрения микрочипа в удостоверение также предусмотрена. Кстати, одна из идей внедрения чипа - создание унифицированного документа, удостоверяющего личность. Однако для этого мало создать сам документ, необходима инфраструктура, позволяющая использовать его для считывания необходимой информации во всех местах возможного доступа. Над этим придется работать ещё не один год.

Напрашивается вопрос, удастся ли построить эту инфраструктуру с учетом требований законодательства о персональных данных?

Источник: Интерфакс

Посетители ритуальных бань проходят идентификацию по отпечаткам пальцев

  На входе в израильский комплекс Skver Hassidim установлены сканеры отпечатков пальцев. Как сообщает Российский биометрический портал BIOMETRICS.RU, с их помощью осуществляется биометрическая идентификация посетителей бань Petach Tikva, где приверженцы иудаизма совершают ритуальные омовения.
  Сканеры отпечатков пальцев пришли на смену магнитным картам. Руководство Skver Hassidim считает, что биометрическая идентификация более экономична и эффективна по сравнению с «карточными» технологиями и, в частности, сокращает расходы на выпуск карточек. По мнению операторов комплекса, у биометрических технологий есть еще одно неоспоримое преимущество: идентификация по отпечаткам пальцев позволяет установить личность конкретного посетителя. Дело в том, что ранее магнитные карточки выдавались лицам, которые ежедневно посещают ритуальные бани и на этом основании платят за вход меньше по сравнению с теми, кто не пользуется комплексом на регулярной основе. Некоторые посетители передавали свои карты членам семей, и, таким образом, право на льготные цены получал не один посетитель, а несколько, что наносило комплексу Skver Hassidim ущерб. 
  Теперь эта проблема устранена, поскольку биометрические идентификаторы «одолжить» другому человеку невозможно.

Источник: Российский биометрический портал BIOMETRICS.RU

Методическая и методологическая работа

  В своей практике мне часто приходится сталкиваться с большим количеством курсов по информационной безопасности, которые достаточно «коряво» построены с точки зрения методологии. Это значительно снижает привлекательность курсов, а также их ценность и привлекательность с точки зрения усвоения. Основная проблема здесь заключается в том, что специалисты по ИБ (действительно хорошие специалисты) редко являются хорошими методологами и не способны построить структурированный и логически-организованный курс. Зачастую понятие «методологическая работа» подменяется понятием «методическая работа» (или «корректорская работа»), что в корне не правильно. Хороший методолог может и не разбираться в сути предмета, но он должен уметь так структурировать и логически организовать курс, чтобы он стал максимально эффективен с точки зрения восприятия и усвоения. Поэтому качественный курс может создать только команда, состоящая из специалистов в определенной (возможно достаточно узкой) области и методологов.

Управление Роскомнадзора по Нижегородской области выявило нарушения в деятельности "Радиотехбанка" в сфере обработки персональных данных

  Управление Роскомнадзора по Нижегородской области выявило нарушения в деятельности "Радиотехбанка" в сфере обработки персональных данных. Об этом сообщается на официальном сайте управления. 
  В ходе проверки было выявлено, что уведомление об обработке персональных данных ОАО Нижегородский коммерческий банк "Радиотехбанк" содержит неполные сведения о категориях субъектов, персональные данные которых обрабатываются, и категориях обрабатываемых персональных данных. Таким образом, выявлено нарушение ч. 3 ст. 22 федерального закона "О персональных данных" от 27.07.2006 N 152-ФЗ.
  Также было выявлено несоответствие типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, требованиям п. 7 постановления Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
  По результатам проверки ОАО НКБ "Радиотехбанк" выдано два предписания об устранении выявленных нарушений. Материалы проверки направлены в прокуратуру Приокского района Нижнего Новгорода для принятия решения о возбуждении дела об административном правонарушении по ст. 13.11 КоАП РФ.

Источник: НИА "Нижний Новгород"

Дорогая информация

  В последнее время в Интернете появилось достаточно много статей о невозможности приведения в соответствие требованиям законодательства ИСПДн организаций до 01.01.2001 года. С очередной статьей можно ознакомиться по ссылке http://www.konkurent.ru/list.php?id=112.
  С 1 января 2010 г. компании, работающие с персональными данными сотрудников или клиентов, а это практически 90% всех предприятий и организаций страны, обязаны защитить свои базы данных, как того требует 152-ФЗ «О персональных данных». Большая часть компаний этого сделать не сможет, поскольку процедура эта трудоемкая, путаная и затратная, а времени осталось совсем немного. К нарушителям будут применяться различные санкции: от выписывания протоколов об административном нарушении и заведения уголовных дел до прекращения деятельности самого предприятия.

Источник: konkurent.ru

Как уволенные сотрудники мстят бывшим работодателям. Судебная практика и мелкие пакости

   Достаточно интересная статья опубликована в http://www.aif.ru/money/article/28467.
  В периоды экономических кризисов и связанной с ними безработицы отношения работника и работодателя нередко обостряются. Увеличивается количество досудебных и судебных споров по определенным категориям дел.
  По официальной информации Правительства РФ, еще в декабре 2008 года увеличилось количество жалоб со стороны уволенных сотрудников на невыплату заработной платы, увольнение без выплаты выходного пособия и другие нарушения, которые работодатели обосновывают мировым финансово-экономическим кризисом.
  Работники могут прибегать не только к правовым способам защиты своих интересов. На практике нередки случаи мести бывшим работодателям. Формы могут быть следующими:
  - содействие конкурентам;
  - раскрытие коммерческой тайны;
  - причинение материального ущерба;
  - захват оборудования и материальных ценностей;
  - использование ресурсов работодателя для личных нужд;
  - распространение сведений, порочащих деловую репутацию компании.

Источник: aif.ru

Съемные носители как угроза информационной безопасности

  29-летний аналитик крупной компьютерной фирмы Дениэл Харрингтон (Daniel Harrington) вряд ли мог предположить, что станет причиной скандала государственной важности. В конце октября прошлого года съемный носитель, принадлежавший Харрингтону, был найден на публичной автомобильной парковке около паба в английском городе Кэннок, графство Стаффордшир. И все бы ничего, да только на этом носителе были размещены секретные пароли доступа () к глобальной базе данных английского электронного правительства Government Gateway.
  На самом деле, этот случай показывает не только халатность отдельного сотрудника, а отражает общий тренд информационной безопасности последних лет. С развитием информационных технологий секретная и ценная информация стала текучей, как никогда. А съемные носители стали настоящей головной болью офицеров безопасности и специалистов по управлению рисками.
Полный текст статьи по ссылке: http://pcmag.ru/library/detail.php?ID=35992

Источник: pcmag.ru