воскресенье, 31 июля 2011 г.

Оператор обязан назначить лицо, ответственное за организацию обработки ПДн



   В законе о ПДн появилась достаточно интересная статья 22.1 «Лица, ответственные за организацию обработки персональных данных в организациях».
   В прошлой редакции закона оператор мог (но не был обязан) назначать лицо, ответственное за защиту ПДн. В нынешней редакции имеем:
«1. Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных.
2. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему.
3. Оператор обязан предоставлять лицу, ответственному за организацию обработки персональных данных, сведения, указанные в части 3 статьи 22 настоящего Федерального закона.
4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:
1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов».
   Таким образом, получается, что оператор фактически обязан назначить лицо, ответственное за организацию обработки ПДн. При этом, данное лицо подчиняется непосредственно исполнительному органу оператора и занимается фактически только контролем исполнения законодательства, повышением осведомленности сотрудников оператора и взаимодействовать с субъектами при их обращении к оператору.
   На кого будет возложена данная функция? Первое, что приходит в голову, так это сотрудник кадровой службы. Так что, придется кадровикам заниматься повышением осведомленности сотрудников своей организации и отбиваться от запросов субъектов. Естественно, ни о каких дополнительных вакансиях, особенно в гос.организациях, речи быть не может.

понедельник, 25 июля 2011 г.

Раскрыт секрет управления людьми!

Супер видео "Как управлять людьми".
Попробуй и у тебя тоже получится:

воскресенье, 24 июля 2011 г.

Новый информационный портал по СМЭВ


   СМЭВ - система межведомственного электронного взаимодействия. Сколько положительного и позитивного смысла в этих 4-х словах. Казалось бы, это то, чем необходимо сейчас заниматься ведомствам если не в первую очередь, то хотя бы приоритеты в этом деле должны быть высокими.
   Что же такое СМЭВ? СМЭВ - представляет собой федеральную государственную информационную систему, включающую информационные базы данных, в том числе содержащие сведения об используемых органами и организациями программных и технических средствах, обеспечивающих возможность доступа через систему взаимодействия к их информационным системам (далее - электронные сервисы), сведения об истории движения в системе взаимодействия электронных сообщений при предоставлении государственных и муниципальных услуг, исполнении государственных и муниципальных функций в электронной форме, а также программные и технические средства, обеспечивающие взаимодействие информационных систем органов и организаций, используемых при предоставлении в электронной форме государственных и муниципальных услуг и исполнении государственных и муниципальных функций.
   Оператором единой системы межведомственного электронного взаимодействия является Министерство связи и массовых коммуникаций РФ.
Распоряжением Правительства Российской Федерации от 15 октября 2010 года № 1475-р ОАО «Ростелеком» назначено единым национальным оператором инфраструктуры электронного правительства.
   Что же получается на самом деле? Столкнулись с большим количеством как организационных, так и технических проблем, в частности:
1. во многих структурах (в основном этим страдают муниципальные образования) не внедрен электронный документооборот,
2. не все регламенты госуслуг проработаны,
3. во многих районах нет специалистов в этой сфере,
4. у муниципальных властей при межведомственном взаимодействии могут возникнуть сложности с федеральными структурами. Чтобы этого не произошло, министерство экономического развития подготовит общее соглашение между муниципальными учреждениями и федеральными службами.
5. хаотические обмены сведениями, организуемые каждым из ведомств по собственным правилам,
6. отсутствие хранения истории оказания услуг и обмены сведениями,
7. большое количество технических проблем при стыковке систем.
   Для получения оперативной информации по вопросам СМЭВ экспертами компании СтинсКоман разработан специализированный информационный портал http://www.442-r.ru/. На этом портале можно получать оперативную информацию и оставлять свои отзывы.

пятница, 22 июля 2011 г.

Хакеры из Anonymous создадут социальную сеть


   Хакеры из группировки Anonymous заявили через свой блог на Tumblr о том, что они решили создать собственную социальную сеть, "свободную от цензуры". Новый проект получил название Anon+ и пока находится в разработке.
   Хакеры уже зарегистрировали сайт AnonPlus.com. Но на нем пока ничего нет, кроме анонса проекта, псевдонимов некоторых разработчиков и ссылки на форум, где идет обсуждение. Конкретные сроки запуска Anon+ тоже пока не называются, но хакеры обещают, что это произойдет "в ближайшее время".
   Сообщается, что одной из отличительных особенностей новой социальной сети будет полная анонимность всех ее участников. Anon+, по заявлению хакеров, будет социальной сетью не только для сторонников Anonymous, но и для всех, кто захочет в ней участвовать.
   Заявление о начале работ над Anon+ стало ответом Anonymous на то, что 16 июля Google удалил их аккаунт Your Anon News из своей новой социальной сети Google+, а также заморозил их почтовые ящики в своем сервисе Gmail. Как написали Anonymous в своем блоге на Tumblr, это не первое удаление аккаунтов, принадлежащих группировке и ее активистам.
   В 2011 году Anonymous организовали несколько громких кибератак: в частности, им удалось похитить адреса электронной почты более 90 тысяч американских военных.

Источник: Podrobnosti.ua

пятница, 15 июля 2011 г.

Открытое письмо Директору департамента информатизации Минздравсоцразвития от АРМИТ

   Вот такое интересное открытое письмо Директору департамента информатизации Минздравсоцразвития от АРМИТ:
   АРМИТ уже много лет безуспешно пытается добиться от Минздравсоцразвития реального вовлечение экспертов в работу по информатизации. Так, еще во время опроса «Нужен ли в Минздравсоцразвития РФ Департамент ИКТ?», проведенного АРМИТ в ноябре 2007 г., подавляющее большинство респондентов высказалось за создание такого Департамента. Столь же единодушным было мнение и о необходимости создания при Департаменте экспертного совета, состоящего из наиболее авторитетных представителей ...

   Полный текст письма можно найти на странице Президента АРМИТ - http://www.gosbook.ru/node/28281 или в блоге http://inessa-zukova.livejournal.com/174632.html

четверг, 7 июля 2011 г.

Х Юбилейная конференция ИнфоБЕРЕГ-2011

   Всероссийская конференция "Обеспечение информационной безопасности. Региональные аспекты" - это: высокопрофессиональный состав участников, эксклюзивная деловая программа, обучение и эффективная площадка для проведения деловых встреч, предлагающая новые возможности по поиску партнеров среди делегатов конференции.
   За 9 лет конференция стала де-факто ежегодным съездом профессионалов по информационной безопасности России. За прошедшие годы свыше 1500 делегатов приняло участие в конференции, среди которых высшее руководство и специалисты государственных и коммерческих организаций, научных учреждений и общественных объединений.
   В конференции традиционно принимают участие представители федеральных органов государственной власти, законодательных, контролирующих и регулирующих структур Российской Федерации.
   Конференция проводится при поддержке и участии:  Совета Федерации Федерального Собрания Российской Федерации, Государственной Думы Федерального Собрания Российской Федерации, Министерства связи и массовых коммуникаций Российской Федерации, Министерства внутренних дел Российской Федерации, Министерства обороны Российской Федерации, Министерства экономического развития Российской Федерации, ФСТЭК России, ФСБ России, Роскомнадзора, Росинформтехнологии и других государственных ведомств и организаций.
   При участии Российского союза промышленников и предпринимателей, Ассоциации Защиты Информации, Ассоциации «РусКрипто», Ассоциации предприятий компьютерных и информационных технологий, Ассоциации электронных торговых площадок и др. профессиональных сообществ.

Цели конференции:
- Эффективное взаимодействие министерств и федеральных ведомств, администраций субъектов Российской Федерации и организаций различных форм собственности в деле развития информационных технологий и обеспечения информационной безопасности Российской Федерации.
- Совершенствование нормативного, правового регулирования в области информационной безопасности в Российской Федерации.
- Содействие в решении вопросов обеспечения информационной безопасности на региональном уровне, на уровне субъектов Российской Федерации.
- Предоставление трибуны для выражения мнений и комментариев экспертов о последних и предстоящих изменениях в нормативном, правовом регулировании, в т.ч. в сфере лицензирования, сертификации, аттестации, оценки соответствия и др..
- Ознакомление и обсуждение новейших разработок и технологий в области защиты информации.
- Обмен передовым опытом ведущих специалистов в области информационной безопасности Российской Федерации и оказание практической помощи в вопросах ИБ.

Аудитория:
Руководство и специалисты:
- Федеральных органов исполнительной власти Российской Федерации.
- Администраций городов, краев и областей субъектов Российской Федерации.
Российских предприятий различных отраслей промышленности: нефтегазодобыча и переработка, энергетика, транспорт, связь, металлургия, машиностроение и др.
- Финансовых и кредитных учреждений, а также коммерческих банков Российской Федерации.
- Ведущих компаний-разработчиков систем и средств информационной безопасности, а также организаций осуществляющих свою деятельность в области защиты информации и ИТ консалтинга.
- Ведущих телекоммуникационных компаний, операторов связи.

По всем вопросам обращайтесь – 8(495)231-3049, conf@infosystem.ru, в Отдел конференций.

среда, 6 июля 2011 г.

Открытое письмо Президенту по поводу внесений изменений в ФЗ-152

   Спешу присоединиться к коллегам-блоггерам и также публикую открытое письмо Президенту.

Уважаемый Дмитрий Анатольевич!

 Мы, представители экспертного сообщества в области информационной безопасности, обращаем Ваше внимание на невыполнение вашего поручения №5, опубликованного 2 июня 2011 года на сайте kremlin.ru, а именно:

5. Ускорить приведение законодательства Российской Федерации в соответствие с требованиями Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных», предусмотрев устранение необоснованных обременений для операторов персональных данных.

Ответственные: Щёголев И.О., Бортников А.В., Нургалиев Р.Г.
Срок – 1 августа 2011 г.

 Обладая определенным опытом работы в области защиты информации и в частности защиты персональных данных, а также являясь экспертами различных рабочих групп, занимающихся вопросами гармонизации российского законодательства в области персональных данных, мы заявляем, что вследствие принятия 5 июля 2011 года в третьем чтении Государственной Думой законопроекта № 282499-5 "О внесении изменений в Федеральный закон "О персональных данных" (далее - Законопроект) все существовавшие серьезные обременения для операторов не только сохранились, но и приумножились.

 Частью 1 статьи 20 Конвенции Совета Европы “О защите физических лиц при автоматизированной обработке персональных данных”, подписанной от имени РФ 07.11.2001 в г. Страссбург (далее - Конвенция) предусмотрена норма, согласно которой оператор персональных данных самостоятельно принимает решение о составе защитных мер, исходя из предполагаемого ущерба субъекту от их неправомерного использования. В случае утечки, ответственность ложится на оператора по всей строгости закона. Указанные в Законопроекте требования по защите данных носят обязательный характер, их состав жестко регламентирован и не зависит от предполагаемого ущерба субъекту. В тоже время, ответственность операторов за утечки Законопроектом не предусмотрена. Другими словами, Законопроект не соответствует духу Конвенции.

 Российским операторам персональных данных (почти всем юридическим лицам) Законопроект навязывает требования по защите данных, ранее содержавшиеся в подзаконных и ведомственных нормативных актах ФСТЭК и ФСБ, которые абсолютно не учитывают современные тенденции развития информационного общества. Слегка “подкорректированные” методы и способы защиты государственной тайны 20-летней давности стали обязательными для 7 миллионов операторов персональных данных. А среди них не только «богатые» банки или нефтяные компании, но и фермерские хозяйства, школы, поликлиники и даже индивидуальные предприниматели - все они обрабатывают персональные данные, как минимум, своих работников.

 Как следствие, принятый Законопроект обязывает операторов персональных данных тратить ресурсы на выполнение морально устаревших требований и покупку несоответствующих современным реалиям технических средств защиты информации. По оценкам Парламентских слушаний 20 октября 2009 года, на реализацию этих, неэффективных в деле защиты прав субъектов персональных данных, мероприятий, всеми хозяйствующими субъектами должна быть единовременно потрачена сумма около 6% ВВП РФ. Учитывая объемы затрат операторы, с очень большой вероятностью, переложат указанные расходы на субъектов - потребителей своих услуг, что неизбежно приведет к эскалации инфляционных процессов.

 Особо отмечаем, что Законопроект не проходил антикоррупционную экспертизу, а большие обременения, заложенные в Законопроекте, могут весьма существенным образом сказаться на развитии ИТ-инноваций в РФ, поскольку инвестиционный бюджет ИТ-стартапов весьма ограничен. Учитывая объемы затрат, наиболее востребованный экономикой инновационный вид бизнеса в РФ будет заведомо обречен на провал.

 Эти и другие факторы создают предпосылки для вывода существующих и создаваемых информационных систем за пределы России в страны Евросоюза, где требования к защите персональных данных учитывают современные тенденции и обеспечивают баланс интересов оператора и субъекта. Такие действия, по понятным причинам, могут нанести значительный ущерб безопасности России, и не способствуют соблюдению прав субъектов персональных данных, являющихся гражданами РФ.

 Просим Вас, принимая во внимание изложенные доводы, отклонить законопроект в существующем виде, и направить его на общественные слушания и соответствующую доработку с привлечением экспертного сообщества в области информационной безопасности и, в частности, защиты персональных данных.

 06.07.2011

Письмо подписали:

Бондаренко Александр
Волков Алексей
Лукацкий Алексей
Токаренко Александр
Царев Евгений

Затишье перед бурей...

Интересный год 2011 получается.
Столько новых законов принято за первую половину года.
Это и ФЗ-63 (об ЭП) и ФЗ-99 (о лицензировании) и существенные поправки в ФЗ-152 и ФЗ-161 (о НПС). Полный букет.
Даже не вникая глубоко в их суть мурашки начинают бежать по коже.
Даже тяжело себе представить, какое интенсивное "закручивание гаек" идет сейчас.
По всем этим новым законам нет никакой официальной реакции руководителей министерств, как профильных, так и смежных. Как будто ничего не происходит. Каждый понимает призывы Гаранта Конституции по своему. Такое впечатление, что все делается в тихаря. Ни про какие обсуждения общественностью, антикоррупционные комитеты и т.п. даже речи не идет. Нет никакой реакции общественности, обсуждений, пререканий, кроме небольшого бурления в Интернете.
Затишье перед бурей, по другому даже не могу все это назвать.
А бурей будут те подзаконные акты, которые выпустят наши доблестные органы исполнительной власти в части своих полномочий для исполнения тех самых новых законов. Может начаться паника, но будет уже поздно, т.к. законы уже вступят в силу.
Как говорится, толи еще будет.

вторник, 5 июля 2011 г.

СРО в области ДПО

   Сегодня 05.07.11г. состоялось Собрание Союза ДПО (дополнительного профессионального образования) (http://www.dpo-edu.ru/), на котором рассматривалось ряд вопросов. Одним из основных вопросов было провозглашение необходимости создания СРО в области ДПО.
Руководством правления союза было озвучено несколько задач:
1. необходимость создания нескольких СРО в разных регионах. Их должно быть не менее 10-15. Комплекты документов для регистрации соответствующих НП  уже имеются.
2. необходимость создать национальное объединение СРО. Это делается для того, что в каждой отрасти существует десятки и даже сотни СРО, которые  разрабатывают свои стандарты. Соответственно, чтобы не остаться за бортом необходимо создать такое национальное объединение. Как говорится если не  ты, то это сделают твои конкуренты.
У собравшихся возникло ряд вопросов по данным мероприятиям, в частности, АНО не могут вести предпринимательскую деятельность и поэтому не могут стать СРО. По словам представителей правления союза этот момент можно обойти.
3. Т.к. в законе о СРО одним из вариантов зарабатывания СРО является образовательная деятельность, то уже достигнуты предварительные договоренности между нац.объединениями отраслей и планируемым нац.объединением СРО по ДПО.
4. Для чего нужно СРО в ДПО:
- в настоящее время Минобр разрабатывает требования только к программам высшего профессионального образования, а в части ДПО мы имеем полный нормативно-правовой вакуум,
- сейчас существует достаточно много образовательных учреждений ДПО, которые при проверках не могут сослаться на какие-либо стандарты и документы. СРО создадут такие документы.
- проблема набора слушателей. СРО может использоваться как форма повышения доверия в образовательному учреждению ДПО.
При этом, как заявляют зачинатели онного процесса ничего заработать не получится, но участники СРО могут стать более защищенными.
Вот так..., всем срочто в СРО...

понедельник, 4 июля 2011 г.

Как стать аттестованным аудитором СТО БР ИББС-1.0?


   В Академии Информационных Систем завершился очередной курс повышения квалификации по подготовке Аудиторов ИБ по Стандарту Банка России СТО БР ИББС-1.0-2010.
   Курс был очень интересным и насыщенным практическими занятиями.
   Занятия были построены таким образом, чтобы слушатели получили не только знания и ответы на свои вопросы по не совершенной методике аудита, но и получили практические навыки оценивания частных показателей и составления отчета по результатам аудита и т.п.
   Курс проводили признанные эксперты в области ИБ банков, такие как Велигура А.Н., Дроздов А.В., Булгаков А.О. В качестве приглашенных экспертов на курсе присутствовали 3 представителя ГУБЗИ Банка России и эксперты Совета Сообщества ABISS.
   Все слушатели высоко оценили качество обучения в АИС.
   По окончании обучения проводилось итоговое тестирование, которое показало, что практически все слушатели готовы стать аудиторами. Первоначально по результатам теста почти 40% из всех слушателей не написали тестовые задания. После формальной проверки результатов начался разбор полетов и каждый слушатель, кто был не согласен со своей оценкой, мог обосновать и аргументировать свой вариант ответа. В итоге, не сдавших осталось всего 1% (вместо 40-ка). Горячее обсуждение результатов и живой диалог по результатам тестирования позволил сделать выводы, что практически все слушатели достойны стать аттестованными ABISS аудиторами по СТО БР ИББС-1.0.
Лучшими по результатам тестирования стали три представителя Инвестбанка во главе с начальником отдела ИБ Ярцевым Игорем, которые ответили правильно на все 100% вопросов.
   Без ложной скромности хочу отметить, что только в Академии Информационных Систем проходят курсы подготовки аудиторов по СТО БР ИББС-1.0-2010 на самом высоком уровне профессионализма. Только Академия в своем штате имеет порядка десяти аттестованных аудиторов и десяти аттестованных тренеров по данному стандарту. Все тренеры АИС имеют большой практический опыт внедрения и проведения аудитов в банковской сфере. Только после курсов Академии выдаются Сертификаты ABISS, о том, что специалист является аттестованным аудитором по СТО БР ИББС-1.0 и удостоверения государственного образца. Приходите и сами в этом убедитесь!