Интерес организаций к ИБ усиливается с каждым годом

В PC Week опубликована статья Ректора Академии Информационных Систем Малинина Ю.В. об одном из самых значимых мероприятий в области ИБ, о Ежегодной Всероссийской конференции “Информационная безопасность. Региональные аспекты. ИнфоБЕРЕГ”, которая в нынешнем году проводится уже десятый раз.

Полный текст статьи по ссылке - http://www.pcweek.ru/security/article/detail.php?ID=133077

Подготовка к сертификациям CISA и CISM

   Академия Информационных Систем (АИС) при поддержке Российского отделения Ассоциации ISACA проводит официальную подготовку к квалификационным экзаменам на получение сертификатов CISA и CISM.

   Сертификации CISA и CISM, это признанные «де-факто» во все мире профессиональные сертификации.

   CISA (Сертификат Аудитора Информационных Систем) является основной сертификацией Международной Ассоциации Аудиторов Информационных Систем (ISACA). С 1978 года эта сертификация является мерилом передового опыта в области аудита ИТ и безопасности. С момента ее создания более 60 тысяч специалистов во всем мире прошли эту сертификацию, и она стала всемирно признанной и принятой "де-факто", как символ достижения высокого профессионального уровня в этой области.

   CISM (Сертификат Менеджера Информационной Безопасности) ориентирован как на опытных руководителей в области ИБ, так и на тех, в чьи должностные обязанности входят функции ее обеспечения. CISM предназначен для обеспечения высшего руководства организации уверенностью в том, что те, кто обладает этой сертификацией, имеют необходимые знания, опыт и способности для эффективного управления ИБ. Это бизнес-ориентированная сертификация фокусируется на управлении информационными рисками при решении вопросов общего управления организацией, создания дизайна контролей и технической безопасности на концептуальном уровне. Хотя её основное внимание посвящено обеспечению безопасности, все профессионалы ИТ с опытом безопасности, несомненно, получат пользу от сертификации CISM.

   Подготовительные курсы к экзаменам CISA и CISM проводятся в течение двух учебных дней (16 часов). Претендентам на сертификацию дается возможность сдать тестовый экзамен и проверить свой уровень готовности к официальному сертификационному тестированию.

   Общий объем материалов, который необходимо освоить претендентам на сертификацию включает 5 разделов в соответствии с требованиями экзамена.

   Подготовку проводят сертифицированные ISACA тренеры с большим практическим опытом в области аудита ИТ и безопасности.

   Для обеспечения максимальной эффективности подготовки к экзаменам подготовительные курсы проводятся не ранее чем за один календарный месяц до начала официального тестирования. Официальное тестирование проводится два раза в год в строго фиксированные даты (обычно июнь и декабрь) и время во всем мире.

   Дата ближайшего официального тестирования: 10 декабря 2011 года.

   Даты проведения подготовительных курсов и тестового экзамена:

   - подготовка к экзамену CISA – 12-13 ноября 2011 года,

   - подготовка к экзамену CISM – 19-20 ноября 2011 года.

   Даты проведения тестовых экзаменов:

   - CISA – 19 ноября 2011 года,

   - CISM – 26 ноября 2011 года.

   Часы подготовительного тренинга также зачисляются в качестве CPE (Continuous professional education).

   Требования для получения сертификаций CISA и CISM:

   1. Успешная сдача сертификационных экзаменов,

   2. Подтвержденный практический опыт проведения ИТ и/или ИБ аудитов не менее 5 лет. В качестве 2 лет практического опыта может быть засчитано профессиональное обучение в области ИТ и ИБ.

   Стоимость участия в подготовительном курсе – 30000 руб. В указанную стоимость входит само обучение, комплект учебных материалов, CD-диск с типовыми вопросами сертификационного тестирования.

Проект приказа ФСБ России "Об утверждении Административного регламента ФСБ России по ПДн"

Проект приказа ФСБ России "Об утверждении Административного регламента ФСБ России по исполнению государственной функции по осуществлению государственного контроля (надзора) за выполнением установленных Правительством РФ требований к обеспечению безопасности персональных данных" - http://pd.rsoc.ru/law/legislation-projects/.

Новое в законодательстве в области защиты информации. Разъяснения и комментарии

   Первая половина 2011 года выдалась очень насыщенной на законотворческие инициативы в области защиты информации. Появились такие знаковые законы как:

   - Существенные изменения в Федеральном законе № 152-ФЗ «О персональных данных»,

   - Федеральный закон № 63-ФЗ «Об электронной подписи»,

   - Федеральный закон № 99-ФЗ «О лицензировании отдельных видов деятельности»,

   - Федеральный закон № 161-ФЗ «О национальной платежной системе»,

   - Федеральный закон № 225-ФЗ «Об обязательном страховании гражданской ответственности владельца опасного объекта за причинение вреда в результате аварии на опасном объекте».

   Каждый из этих законов требует тщательной проработки и осмысления. Еще далеко не все из них вступили в полную силу и не ко всем разработаны полноценные подзаконные акты. Все они взаимосвязаны между собой и за их не выполнение предусмотрена ответственность, вплоть до уголовной. Также необходимо отметить, что некоторые из них кардинально отличаются от предыдущих версий. Как можно разобраться во всем этом многообразии новых законов?

   Академия Информационных Систем запускает цикл однодневных практических семинаров, целью которых является разъяснение основных положений новых законов. Каждый участник семинаров сможет принять участие в активной дискуссии по актуальным вопросам.

   Семинары проводят ведущие эксперты Академии Информационных Систем, имеющие большой практический опыт и такие сертификации, как CISA, CISM, QSA Auditor, Lead Auditor 27001, Аудитор СТО БР ИББС и т.п.

Темы семинаров:

1. Новые правила при обработке и защите персональных данных. Что изменилось в законодательстве?

2. Как оптимально подготовиться к проверкам по персональным данным? Практический опыт.

3. Практика реализации требований PCI DSS.

4. Проведение внутренних проверок (самодиагностика) законности обработки персональных данных.

5. Построение бизнес-ориентированной архитектуры мультисервисных сетей (SBA).

6. Использование шифровальных (криптографических) средств для защиты информации в информационных системах.

7. Медицинское учреждение. Что делать с типовыми ЛПУ после 01.07.2011 года?

8. Реализация требований к юридически значимому электронному документообороту с учетом новых требований законодательства РФ (Федеральные законы № 63-ФЗ, № 152-ФЗ, № 99-ФЗ).

9. Аккредитация удостоверяющего центра. Риски от постановки задачи до реализации.

10. Особенности получения и продления лицензий на отдельные виды деятельности в области защиты информации. Что нового в законодательстве?

11. Национальные платежные системы и действующее законодательство в области защиты информации – «Гордиев узел».

12. Моментальные платежи в Национальной платежной системе. Особенности.

13. Дистанционное банковское обслуживание - платежные системы или электронный документооборот?

14. Оценка операционного риска по СТО БР ИББС и 242-П.

15. Обеспечение безопасности систем управления ТЭК и операторов связи.

16. Обязательное страхование гражданской ответственности владельца потенциально опасного объекта.

   Указанные семинары будут проводиться последовательно начиная с самых востребованных тем. Для определения рейтинга популярности семинаров предлагаем вам выбрать и отметить не более пяти тем, которые вы считаете наиболее актуальными и нуждающимися в разъяснении.

   Опрос проводится до 31 августа 2011 года в верхней части настоящего блога. После подведения итогов будет составлено расписание семинаров до конца 2011 года.

   Условия участия и точное расписание разъяснительных семинаров будут опубликованы на сайте Академии Информационных Систем до 06 сентября 2011 года.

   После каждого семинара всем участникам будут вручаться Свидетельства Академии Информационных Систем.

   Прими участие в голосовании, выбери свою тему!

   Контактная информация для предварительной регистрации на семинары:

Менеджер отдела ИБ – Карташова Ольга,

Тел. 8(495)231-3049,

security@infosystem.ru

Еще одно образование (тех.совет) по предоставлению услуг в области защиты ПДн?

   По сообщениям Ведомостей  Роскомнадзор и Ассоциацию дистанционной торговли создают технический совет, который расскажет интернет-магазинам, как защищать персональные данные. Это будет коллегиальный орган, разрабатывающий для интернет-магазинов рекомендации по защите персональных данных пользователей. Магазинам, которые последуют этим рекомендациям, будет проще пройти добровольную сертификацию, которую ассоциация и привлеченные эксперты (их список уточняется) обещают начать осенью 2011 г.

   Как заявляется - при выдаче сертификата эксперты будут оценивать условия хранения персональных данных, списки сотрудников, имеющих доступ к ним, софт, который использует интернет-магазин, и др.

В связи со всем этим возникает ряд вопросов:

1. О какой сертификации магазинов идет речь?

2. Как эксперты будут оценивать условия хранения персональных данных, списки сотрудников и т.п.?

3. Кто этих экспертов пустит что-то оценивать и на каком основании?

Что за собой таят новые требования по защите персональных данных?

   Вокруг принятия поправок в Федеральный закон № 152-ФЗ «О персональных данных» за последние несколько недель возникло очень много серьезных баталий. Законодатели очень оперативно за вторым чтением приняли поправки и в третьем чтении. Также не заставило себя долго ждать положительное решение Совета Федерации. В тот, достаточно короткий временной период между решением Совета Федерации и подписью Президента РФ на законопроекте, во многих интернет-СМИ и блогах экспертов в области информационной безопасности (ИБ) было опубликовано, так называемое, открытое «письмо пяти» Президенту РФ с обоснованными последствий его принятия и просьбой отправить на доработку. По мнению большинства экспертов, требования в части обеспечения безопасности персональных данных (ПДн) не обоснованно завышены, что требует от операторов значительных материальных затрат и что все это неизбежно приведет к росту инфляционных процессов в стране. Также авторы открытого письма напоминали, что основным предназначением закона является защита конституционных прав и свобод субъектов ПДн, но никак не на дополнительное обременение операторов ПДн. 

   Помимо данного «письма пяти» свое открытое письмо от имени банковского сообщества с просьбой вернуть законопроект на доработку направили эксперты Ассоциации Российских Банков. Особую озабоченность вызывало исключение из законопроекта возможности применения отраслевых моделей регулирования. 

   Несмотря на все старания сообщества специалистов в области ИБ донести до Президента РФ свои опасения, законопроект был им подписан 26.07.2011г. и официально опубликован 27.07.2011г. 

   Теперь предстоит большая и кропотливая работа по разработке новых подзаконных актов и нормативных документов. К данной работе активно подключилось сообщество специалистов ИБ.

   Каким бы «тяжелым» не казался закон, он касается абсолютно всех и его необходимо исполнять. 

   В связи с принятыми поправками в законодательстве в Академии Информационных Систем был полностью переработан курс повышения квалификации«Комплексная защита персональных данных в ИСПДн». Эксперты Академии подробно расскажут о тех изменениях, которые появились в законе и поделятся опытом, как лучше и оптимальнее проводить работы по приведению в соответствие ИСПДн компаний.

Оператор обязан назначить лицо, ответственное за организацию обработки ПДн

   В законе о ПДн появилась достаточно интересная статья 22.1 «Лица, ответственные за организацию обработки персональных данных в организациях».

   В прошлой редакции закона оператор мог (но не был обязан) назначать лицо, ответственное за защиту ПДн. В нынешней редакции имеем:

«1. Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных.

2. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему.

3. Оператор обязан предоставлять лицу, ответственному за организацию обработки персональных данных, сведения, указанные в части 3 статьи 22 настоящего Федерального закона.

4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:

1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов».

   Таким образом, получается, что оператор фактически обязан назначить лицо, ответственное за организацию обработки ПДн. При этом, данное лицо подчиняется непосредственно исполнительному органу оператора и занимается фактически только контролем исполнения законодательства, повышением осведомленности сотрудников оператора и взаимодействовать с субъектами при их обращении к оператору.

   На кого будет возложена данная функция? Первое, что приходит в голову, так это сотрудник кадровой службы. Так что, придется кадровикам заниматься повышением осведомленности сотрудников своей организации и отбиваться от запросов субъектов. Естественно, ни о каких дополнительных вакансиях, особенно в гос.организациях, речи быть не может.

Текст Федерального закона №152-ФЗ "О персональных данных" с последними изменениями от 25.07.2011

Последнюю версию Федерального закона №152-ФЗ "Оперсональных данных" с последними изменениями от 25.07.2011 года можно скачать на сайте Компании Спецремонт.

Раскрыт секрет управления людьми!

Супер видео "Как управлять людьми".
Попробуй и у тебя тоже получится:

Новый информационный портал по СМЭВ

   СМЭВ - система межведомственного электронного взаимодействия. Сколько положительного и позитивного смысла в этих 4-х словах. Казалось бы, это то, чем необходимо сейчас заниматься ведомствам если не в первую очередь, то хотя бы приоритеты в этом деле должны быть высокими.

   Что же такое СМЭВ? СМЭВ - представляет собой федеральную государственную информационную систему, включающую информационные базы данных, в том числе содержащие сведения об используемых органами и организациями программных и технических средствах, обеспечивающих возможность доступа через систему взаимодействия к их информационным системам (далее - электронные сервисы), сведения об истории движения в системе взаимодействия электронных сообщений при предоставлении государственных и муниципальных услуг, исполнении государственных и муниципальных функций в электронной форме, а также программные и технические средства, обеспечивающие взаимодействие информационных систем органов и организаций, используемых при предоставлении в электронной форме государственных и муниципальных услуг и исполнении государственных и муниципальных функций.

   Оператором единой системы межведомственного электронного взаимодействия является Министерство связи и массовых коммуникаций РФ.

Распоряжением Правительства Российской Федерации от 15 октября 2010 года № 1475-р ОАО «Ростелеком» назначено единым национальным оператором инфраструктуры электронного правительства.

   Что же получается на самом деле? Столкнулись с большим количеством как организационных, так и технических проблем, в частности:

1. во многих структурах (в основном этим страдают муниципальные образования) не внедрен электронный документооборот,

2. не все регламенты госуслуг проработаны,

3. во многих районах нет специалистов в этой сфере,

4. у муниципальных властей при межведомственном взаимодействии могут возникнуть сложности с федеральными структурами. Чтобы этого не произошло, министерство экономического развития подготовит общее соглашение между муниципальными учреждениями и федеральными службами.

5. хаотические обмены сведениями, организуемые каждым из ведомств по собственным правилам,

6. отсутствие хранения истории оказания услуг и обмены сведениями,

7. большое количество технических проблем при стыковке систем.

   Для получения оперативной информации по вопросам СМЭВ экспертами компании СтинсКоман разработан специализированный информационный портал http://www.442-r.ru/. На этом портале можно получать оперативную информацию и оставлять свои отзывы.

Хакеры из Anonymous создадут социальную сеть

   Хакеры из группировки Anonymous заявили через свой блог на Tumblr о том, что они решили создать собственную социальную сеть, "свободную от цензуры". Новый проект получил название Anon+ и пока находится в разработке.

   Хакеры уже зарегистрировали сайт AnonPlus.com. Но на нем пока ничего нет, кроме анонса проекта, псевдонимов некоторых разработчиков и ссылки на форум, где идет обсуждение. Конкретные сроки запуска Anon+ тоже пока не называются, но хакеры обещают, что это произойдет "в ближайшее время".

   Сообщается, что одной из отличительных особенностей новой социальной сети будет полная анонимность всех ее участников. Anon+, по заявлению хакеров, будет социальной сетью не только для сторонников Anonymous, но и для всех, кто захочет в ней участвовать.

   Заявление о начале работ над Anon+ стало ответом Anonymous на то, что 16 июля Google удалил их аккаунт Your Anon News из своей новой социальной сети Google+, а также заморозил их почтовые ящики в своем сервисе Gmail. Как написали Anonymous в своем блоге на Tumblr, это не первое удаление аккаунтов, принадлежащих группировке и ее активистам.

   В 2011 году Anonymous организовали несколько громких кибератак: в частности, им удалось похитить адреса электронной почты более 90 тысяч американских военных.

Источник: Podrobnosti.ua

Открытое письмо Директору департамента информатизации Минздравсоцразвития от АРМИТ

   Вот такое интересное открытое письмо Директору департамента информатизации Минздравсоцразвития от АРМИТ:

   АРМИТ уже много лет безуспешно пытается добиться от Минздравсоцразвития реального вовлечение экспертов в работу по информатизации. Так, еще во время опроса «Нужен ли в Минздравсоцразвития РФ Департамент ИКТ?», проведенного АРМИТ в ноябре 2007 г., подавляющее большинство респондентов высказалось за создание такого Департамента. Столь же единодушным было мнение и о необходимости создания при Департаменте экспертного совета, состоящего из наиболее авторитетных представителей ...

   Полный текст письма можно найти на странице Президента АРМИТ - http://www.gosbook.ru/node/28281 или в блоге http://inessa-zukova.livejournal.com/174632.html

Х Юбилейная конференция ИнфоБЕРЕГ-2011

   Всероссийская конференция "Обеспечение информационной безопасности. Региональные аспекты" - это: высокопрофессиональный состав участников, эксклюзивная деловая программа, обучение и эффективная площадка для проведения деловых встреч, предлагающая новые возможности по поиску партнеров среди делегатов конференции.

   За 9 лет конференция стала де-факто ежегодным съездом профессионалов по информационной безопасности России. За прошедшие годы свыше 1500 делегатов приняло участие в конференции, среди которых высшее руководство и специалисты государственных и коммерческих организаций, научных учреждений и общественных объединений.

   В конференции традиционно принимают участие представители федеральных органов государственной власти, законодательных, контролирующих и регулирующих структур Российской Федерации.

   Конференция проводится при поддержке и участии:  Совета Федерации Федерального Собрания Российской Федерации, Государственной Думы Федерального Собрания Российской Федерации, Министерства связи и массовых коммуникаций Российской Федерации, Министерства внутренних дел Российской Федерации, Министерства обороны Российской Федерации, Министерства экономического развития Российской Федерации, ФСТЭК России, ФСБ России, Роскомнадзора, Росинформтехнологии и других государственных ведомств и организаций.

   При участии Российского союза промышленников и предпринимателей, Ассоциации Защиты Информации, Ассоциации «РусКрипто», Ассоциации предприятий компьютерных и информационных технологий, Ассоциации электронных торговых площадок и др. профессиональных сообществ.

Цели конференции:

- Эффективное взаимодействие министерств и федеральных ведомств, администраций субъектов Российской Федерации и организаций различных форм собственности в деле развития информационных технологий и обеспечения информационной безопасности Российской Федерации.

- Совершенствование нормативного, правового регулирования в области информационной безопасности в Российской Федерации.

- Содействие в решении вопросов обеспечения информационной безопасности на региональном уровне, на уровне субъектов Российской Федерации.

- Предоставление трибуны для выражения мнений и комментариев экспертов о последних и предстоящих изменениях в нормативном, правовом регулировании, в т.ч. в сфере лицензирования, сертификации, аттестации, оценки соответствия и др..

- Ознакомление и обсуждение новейших разработок и технологий в области защиты информации.

- Обмен передовым опытом ведущих специалистов в области информационной безопасности Российской Федерации и оказание практической помощи в вопросах ИБ.

Аудитория:

Руководство и специалисты:

- Федеральных органов исполнительной власти Российской Федерации.

- Администраций городов, краев и областей субъектов Российской Федерации.

Российских предприятий различных отраслей промышленности: нефтегазодобыча и переработка, энергетика, транспорт, связь, металлургия, машиностроение и др.

- Финансовых и кредитных учреждений, а также коммерческих банков Российской Федерации.

- Ведущих компаний-разработчиков систем и средств информационной безопасности, а также организаций осуществляющих свою деятельность в области защиты информации и ИТ консалтинга.

- Ведущих телекоммуникационных компаний, операторов связи.

По всем вопросам обращайтесь – 8(495)231-3049, conf@infosystem.ru, в Отдел конференций.

Открытое письмо Президенту по поводу внесений изменений в ФЗ-152

   Спешу присоединиться к коллегам-блоггерам и также публикую открытое письмо Президенту.

Письмо опубликовано Лукацким (http://lukatsky.blogspot.com/2011/07/152.html), Царевым (http://www.tsarev.biz/news/otkrytoe-pismo-prezidentu-d-a-medvedevu/), Токаренко (http://personal-data.livejournal.com/286984.html), Волковым (http://anvolkov.blogspot.com/2011/07/blog-post_06.html), Бондаренко (http://secinsight.blogspot.com/2011/07/blog-post.html),

Уважаемый Дмитрий Анатольевич!

 Мы, представители экспертного сообщества в области информационной безопасности, обращаем Ваше внимание на невыполнение вашего поручения №5, опубликованного 2 июня 2011 года на сайте kremlin.ru, а именно:

5. Ускорить приведение законодательства Российской Федерации в соответствие с требованиями Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных», предусмотрев устранение необоснованных обременений для операторов персональных данных.

Ответственные: Щёголев И.О., Бортников А.В., Нургалиев Р.Г.

Срок – 1 августа 2011 г.

 Обладая определенным опытом работы в области защиты информации и в частности защиты персональных данных, а также являясь экспертами различных рабочих групп, занимающихся вопросами гармонизации российского законодательства в области персональных данных, мы заявляем, что вследствие принятия 5 июля 2011 года в третьем чтении Государственной Думой законопроекта № 282499-5 "О внесении изменений в Федеральный закон "О персональных данных" (далее - Законопроект) все существовавшие серьезные обременения для операторов не только сохранились, но и приумножились.

 Частью 1 статьи 20 Конвенции Совета Европы “О защите физических лиц при автоматизированной обработке персональных данных”, подписанной от имени РФ 07.11.2001 в г. Страссбург (далее - Конвенция) предусмотрена норма, согласно которой оператор персональных данных самостоятельно принимает решение о составе защитных мер, исходя из предполагаемого ущерба субъекту от их неправомерного использования. В случае утечки, ответственность ложится на оператора по всей строгости закона. Указанные в Законопроекте требования по защите данных носят обязательный характер, их состав жестко регламентирован и не зависит от предполагаемого ущерба субъекту. В тоже время, ответственность операторов за утечки Законопроектом не предусмотрена. Другими словами, Законопроект не соответствует духу Конвенции.

 Российским операторам персональных данных (почти всем юридическим лицам) Законопроект навязывает требования по защите данных, ранее содержавшиеся в подзаконных и ведомственных нормативных актах ФСТЭК и ФСБ, которые абсолютно не учитывают современные тенденции развития информационного общества. Слегка “подкорректированные” методы и способы защиты государственной тайны 20-летней давности стали обязательными для 7 миллионов операторов персональных данных. А среди них не только «богатые» банки или нефтяные компании, но и фермерские хозяйства, школы, поликлиники и даже индивидуальные предприниматели - все они обрабатывают персональные данные, как минимум, своих работников.

 Как следствие, принятый Законопроект обязывает операторов персональных данных тратить ресурсы на выполнение морально устаревших требований и покупку несоответствующих современным реалиям технических средств защиты информации. По оценкам Парламентских слушаний 20 октября 2009 года, на реализацию этих, неэффективных в деле защиты прав субъектов персональных данных, мероприятий, всеми хозяйствующими субъектами должна быть единовременно потрачена сумма около 6% ВВП РФ. Учитывая объемы затрат операторы, с очень большой вероятностью, переложат указанные расходы на субъектов - потребителей своих услуг, что неизбежно приведет к эскалации инфляционных процессов.

 Особо отмечаем, что Законопроект не проходил антикоррупционную экспертизу, а большие обременения, заложенные в Законопроекте, могут весьма существенным образом сказаться на развитии ИТ-инноваций в РФ, поскольку инвестиционный бюджет ИТ-стартапов весьма ограничен. Учитывая объемы затрат, наиболее востребованный экономикой инновационный вид бизнеса в РФ будет заведомо обречен на провал.

 Эти и другие факторы создают предпосылки для вывода существующих и создаваемых информационных систем за пределы России в страны Евросоюза, где требования к защите персональных данных учитывают современные тенденции и обеспечивают баланс интересов оператора и субъекта. Такие действия, по понятным причинам, могут нанести значительный ущерб безопасности России, и не способствуют соблюдению прав субъектов персональных данных, являющихся гражданами РФ.

 Просим Вас, принимая во внимание изложенные доводы, отклонить законопроект в существующем виде, и направить его на общественные слушания и соответствующую доработку с привлечением экспертного сообщества в области информационной безопасности и, в частности, защиты персональных данных.

 06.07.2011

Письмо подписали:

Бондаренко Александр

Волков Алексей

Лукацкий Алексей

Токаренко Александр

Царев Евгений

Затишье перед бурей...

Интересный год 2011 получается.

Столько новых законов принято за первую половину года.

Это и ФЗ-63 (об ЭП) и ФЗ-99 (о лицензировании) и существенные поправки в ФЗ-152 и ФЗ-161 (о НПС). Полный букет.

Даже не вникая глубоко в их суть мурашки начинают бежать по коже.

Даже тяжело себе представить, какое интенсивное "закручивание гаек" идет сейчас.

По всем этим новым законам нет никакой официальной реакции руководителей министерств, как профильных, так и смежных. Как будто ничего не происходит. Каждый понимает призывы Гаранта Конституции по своему. Такое впечатление, что все делается в тихаря. Ни про какие обсуждения общественностью, антикоррупционные комитеты и т.п. даже речи не идет. Нет никакой реакции общественности, обсуждений, пререканий, кроме небольшого бурления в Интернете.

Затишье перед бурей, по другому даже не могу все это назвать.

А бурей будут те подзаконные акты, которые выпустят наши доблестные органы исполнительной власти в части своих полномочий для исполнения тех самых новых законов. Может начаться паника, но будет уже поздно, т.к. законы уже вступят в силу.

Как говорится, толи еще будет.

СРО в области ДПО

   Сегодня 05.07.11г. состоялось Собрание Союза ДПО (дополнительного профессионального образования) (http://www.dpo-edu.ru/), на котором рассматривалось ряд вопросов. Одним из основных вопросов было провозглашение необходимости создания СРО в области ДПО.
Руководством правления союза было озвучено несколько задач:
1. необходимость создания нескольких СРО в разных регионах. Их должно быть не менее 10-15. Комплекты документов для регистрации соответствующих НП  уже имеются.
2. необходимость создать национальное объединение СРО. Это делается для того, что в каждой отрасти существует десятки и даже сотни СРО, которые  разрабатывают свои стандарты. Соответственно, чтобы не остаться за бортом необходимо создать такое национальное объединение. Как говорится если не  ты, то это сделают твои конкуренты.
У собравшихся возникло ряд вопросов по данным мероприятиям, в частности, АНО не могут вести предпринимательскую деятельность и поэтому не могут стать СРО. По словам представителей правления союза этот момент можно обойти.
3. Т.к. в законе о СРО одним из вариантов зарабатывания СРО является образовательная деятельность, то уже достигнуты предварительные договоренности между нац.объединениями отраслей и планируемым нац.объединением СРО по ДПО.
4. Для чего нужно СРО в ДПО:
- в настоящее время Минобр разрабатывает требования только к программам высшего профессионального образования, а в части ДПО мы имеем полный нормативно-правовой вакуум,
- сейчас существует достаточно много образовательных учреждений ДПО, которые при проверках не могут сослаться на какие-либо стандарты и документы. СРО создадут такие документы.
- проблема набора слушателей. СРО может использоваться как форма повышения доверия в образовательному учреждению ДПО.
При этом, как заявляют зачинатели онного процесса ничего заработать не получится, но участники СРО могут стать более защищенными.

Вот так..., всем срочто в СРО...

Как стать аттестованным аудитором СТО БР ИББС-1.0?

   В Академии Информационных Систем завершился очередной курс повышения квалификации по подготовке Аудиторов ИБ по Стандарту Банка России СТО БР ИББС-1.0-2010.

   Курс был очень интересным и насыщенным практическими занятиями.

   Занятия были построены таким образом, чтобы слушатели получили не только знания и ответы на свои вопросы по не совершенной методике аудита, но и получили практические навыки оценивания частных показателей и составления отчета по результатам аудита и т.п.

   Курс проводили признанные эксперты в области ИБ банков, такие как Велигура А.Н., Дроздов А.В., Булгаков А.О. В качестве приглашенных экспертов на курсе присутствовали 3 представителя ГУБЗИ Банка России и эксперты Совета Сообщества ABISS.

   Все слушатели высоко оценили качество обучения в АИС.

   По окончании обучения проводилось итоговое тестирование, которое показало, что практически все слушатели готовы стать аудиторами. Первоначально по результатам теста почти 40% из всех слушателей не написали тестовые задания. После формальной проверки результатов начался разбор полетов и каждый слушатель, кто был не согласен со своей оценкой, мог обосновать и аргументировать свой вариант ответа. В итоге, не сдавших осталось всего 1% (вместо 40-ка). Горячее обсуждение результатов и живой диалог по результатам тестирования позволил сделать выводы, что практически все слушатели достойны стать аттестованными ABISS аудиторами по СТО БР ИББС-1.0.

Лучшими по результатам тестирования стали три представителя Инвестбанка во главе с начальником отдела ИБ Ярцевым Игорем, которые ответили правильно на все 100% вопросов.

   Без ложной скромности хочу отметить, что только в Академии Информационных Систем проходят курсы подготовки аудиторов по СТО БР ИББС-1.0-2010 на самом высоком уровне профессионализма. Только Академия в своем штате имеет порядка десяти аттестованных аудиторов и десяти аттестованных тренеров по данному стандарту. Все тренеры АИС имеют большой практический опыт внедрения и проведения аудитов в банковской сфере. Только после курсов Академии выдаются Сертификаты ABISS, о том, что специалист является аттестованным аудитором по СТО БР ИББС-1.0 и удостоверения государственного образца. Приходите и сами в этом убедитесь!

Медведев подписал закон о национальной платежной системе

   Президент РФ Дмитрий Медведев подписал закон "О национальной платежной системе", который призван, в частности, отрегулировать порядок осуществления денежных платежей электронными деньгами.

   "Хотел бы проинформировать, что я сегодня подписал закон "О национальной платежной системе"... Закон регулирует порядок осуществления всех видов денежных платежей при помощи электронных денег, с использованием новых технологий, включая мобильную связь. Надеюсь, что он будет востребован", - сказал Медведев на заседании комиссии по модернизации и технологическому развитию экономики.

   Внесенный правительством РФ законопроект был принят в первом чтении еще в декабре, однако в рамках его подготовки ко второму чтению поступали самые разные поправки. В частности, предлагалось обязательное использование для платежей, осуществляемых внутри РФ, платежной инфраструктуры на территории России, а также запрет на передачу информации за рубеж о производимых в России платежах. Эти поправки вызвали вопросы как у представителей международных платежных систем, для которых принятие этих поправок означает существенные расходы, так и у россиян, которые опасаются изоляции страны в этом плане и возникновения проблем с использованием карт таких систем как Visa и MasterCard. Минфин выступал против такого подхода. В итоге между Госдумой, правительством и Центробанком был достигнут компромисс. Было принято решение разрешить платежным системам использовать зарубежные процессинговые центры.

   Инфраструктура платежной системы включает расчетный центр, платежно-клиринговый и процессинговый центр. Расчетный и платежно-клиринговый центры, согласно поправкам, в любом случае должны быть локализованы в России, а процессинг может быть организован как в России, так и за рубежом.

   Председатель комитета Госдумы по финансовому рынку Владислав Резник пояснил ранее, что по сути речь идет о допустимости аутсорсинга отдельной операционной деятельности - процессинга. Международные платежные систем так же, как и национальные, должны будут утверждать правила и любые изменения правил у регулятора - Центрального банка. Они должны будут также обеспечивать бесперебойность услуг, которые они представляют, и в том числе операторам- клиентам, с которыми они имеют договора.

   Законопроект вводит требование - либо локализовать процессинговый центр в России, либо использовать зарубежный центр, но в любом случае нужно обеспечить бесперебойность услуг. При нарушении бесперебойности - процессинговый центр должен быть локализован в России.

НПС

   Целью законопроекта является законодательное закрепление понятия "платежная система", установление требований к организации и функционированию таких систем, а также надзору и контролю за их деятельностью.

   Предметом законопроекта является деятельность и взаимодействие в рамках платежных систем организаций-операторов по переводу денежных средств, включая операторов электронных денег, операторов по приему платежей, платежных систем, услуг платежной инфраструктуры (операционных, клиринговых и расчетных центров), сказал заместитель председателя комитета Юрий Исаев.

   По его словам, законопроект определяет, что национальная платежная система - это совокупность операторов по переводу денежных средств (в том числе электронных денег), банковских платежных агентов, платежных агентов, организаций федеральной почтовой связи.

   Определяется, что операторами НПС являются Банк России, кредитные организации, имеющие право на осуществление перевода денежных средств, а также Внешэкономбанк.

   Законопроект описывает процедуру и правила перевода денежных средств оператором. Оператор до перевода денег обязан предоставить клиентам возможность ознакомиться "в доступной для них форме" с размером вознаграждения за перевод, со способом определения обменного курса, сказал он.

   Вводится понятие платежного клирингового центра - организации, которая в рамках платежной системы обеспечивает прием к исполнению распоряжений участников платежной системы об осуществлении перевода денежных средств. Отдельно оговаривается, что расчетный центр - это организация, которая исполняет списания и зачисления денежных средств по банковским счетам участников платежной системы, а также направляет подтверждения о исполнении распоряжений участников платежной системы.

Электронные деньги

   Законопроект определяет, что перевод электронных денег - это новая форма безналичных расчетов. Перевод электронных денег будет осуществляться исключительно кредитными организациями по поручению своих клиентов. Сами электронные деньги определены как денежные средства, которые внесены клиентами в кредитные организации, которые учитываются без открытия банковских счетов.

   Этим кредитным организациям Банк России будет выдавать специальный вид облегченных лицензий, которые будут давать право на работу с электронными денежными средствами.

   Также законопроект регулирует вопросы, связанные с "электронными средствами платежа", под которыми понимаются разные способы удаленного управления денежными средствами, которые находятся в кредитных организациях.

   Также вводится три вида электронных средств платежа для осуществления расчетов электронными денежными средствами. "Первый вид - "неперсонифицированное электронное средство платежа", когда идентификация вообще не производится - максимальный остаток в любой момент времени 15 тысяч рублей, а лимит по обороту в месяц - 40 тысяч рублей. Основное использование - для микро платежей", - сказал председатель комитета Госдумы по финансовому рынку Владислав Резник.

   Второй вид - "персонифицированное электронное средство платежа".

   "При этом виде платежа происходит идентификация клиента, и максимальная сумма электронных денежных средств на счете - 100 тысяч", - сказал он.

   "Третье - корпоративное электронное средство платежа - оно будет использоваться идентифицированными юридическими лицами, где максимальный остаток на конец рабочего дня - 100 тысяч рублей. Основное использование - прием электронных денежных средств за услуги и товары, такого тоже никогда не было", - сказал Резник.

Платежи через телефон

   Законопроект закладывает основы регулирования так называемых "мобильных платежей".

   Как пояснял Резник, оператор электронных денежных средств может заключить с оператором связи, который имеет право оказывать услуги радиотелефонной подвижной связи, договор, по условиям которого оператор электронных денежных средств будет вправе увеличивать остаток электронных денежных средств физического лица - абонента такого оператора связи - за счет его денежных средств, которые уплачиваются авансом оператору связи.

   Он отметил, что созданы условия для использования мобильного телефона как устройства для осуществления самых разных платежей.

Источник: itsec.ru

Академия запустила практический тренинг по расследования инцидентов и предотвращению мошенничества в ДБО

   В Академии Информационных Систем (www.infosystem.ru) в июне 2011 года стартует новый 2-дневный практический тренинг по актуальным вопросам расследования инцидентов и предотвращению мошенничества в онлайн банкинге.

   Актуальность темы не вызывает сомнений. За последнее время системы Банк-клиент стали неотъемлемой частью взаимодействия коммерческих организаций с банками. Удобство применения этих систем трудно недооценить, они позволяют снизить издержки и повысить оперативность проведения финансовых операций. Но использование информационных технологий одновременно с удобством несет и риски, связанные с обеспечением информационной безопасности. По данным МВД, только в Москве, каждый месяц происходит больше десятка успешных мошеннических операций с использованием систем дистанционного банковского обслуживания (ДБО): банк-клиенты, интернет-банкинг и прочее. Средний ущерб по каждому инциденту составляет более 3 млн. рублей. Помимо этого, ежедневно сотрудниками служб безопасности банков пресекаются попытки Интернет-мошенничества на суммы в сотни миллионов рублей.

   На тренинге подробно рассматриваются следующие вопросы:

- Принципы мошенничества при ДБО,

- Факторы рисков, которым подвергаются стороны отношений,

- Сбор доказательств и анализ собранных улик,

- Практические аспекты расследования инцидентов ИБ при ДБО,

- Снижение рисков возникновения инцидентов ИБ при ДБО.

   Продолжительность тренинга – 2 дня.

   В настоящее время тренинг приводится в корпоративном формате.

   Заявки принимаются по адресу - security@infosystem.ru 

Группа Anonymous опубликовала "План"

   Anonymous, анонимная хактивистская организация, зародившаяся в интернете, выпустила план "План".

   План был придан огласке посредством ВИДЕО и через САЙТ. План представляет собой запутанный 3-ступенчатый процесс, конечным результатом которого должно стать освобождения людей от давления правительства. Первая фаза плана, активная в данный момент, призывает к самосовершенствованию всех людей посредством распространения информации и поиска знаний. Вот некоторые выдержки из программы, опубликованной на сайте:

   Самым важным шагом первого этапа является распространение данного сообщения посредством рассылки этого и предшествующих видео. Пишите истории об угнетении и несправедливости в своих блогах. Сообщайте миру, как мы можем на этот раз вырваться из этой системы порабощения.

   Занимайтесь самообразованием таким образом, чтобы стать более самостоятельными. Изучайте и приобретайте инструменты, чтобы высвободиться из системы. Вкладывайте больше средств в драгоценные металлы, а не в акции, бумажную валюту, необеспеченную золотом, или другие продукты финансового обеспечения. Раскрывайте свои способности и цените возможность развития своего собственного производства.

   Хакеры не из Anonymous, начните работу с низкоприоритетными целями, которые нарушали свободу как в онлайн, так и оффлайн сферах.

   Вебсайт движения также имеет Комитет по координации операций (Operations board) с идеями, напоминающими Project Mayhem из Fight Club. Но здесь нет таких операций, как Payback или Vendetta. Все эти Операции связаны с противодействием Федеральной резервной системе и передачи полномочий людям. Планы варьируются от оставления физических отметок (кругов на полях) и атак банков, до запуска "кибератак" против критических финансовых систем.

Источник: xakep.ru

Из интернет-сети филиала корпорации "Сега" похищены персональные данные ее клиентов

   Из интернет-сети одного из подразделений крупного японского производителя игровых приставок "Сега" похищена значительная часть персональных данных ее клиентов.

   Объектом вероятной кибератаки, сообщили в корпорации, стала связанная с ней компания, число зарегистрированных пользователей которой составляет почти 1,3 млн человек.

   О факте хакерского взлома стало известно еще в субботу, 18 июня, но "Сега" до сих пор воздерживалась от уточнения всех деталей. Сегодня же ее представитель признал, что "похищенная информация включает фамилии пользователей, большинство которых находятся в Европе и Северной Америке, их даты рождения, электронные адреса и пароли для входа в систему, но данные о кредитных карточках в этот список не входят".

   В последние месяцы от хакеров весьма серьезно пострадала компьютерная сеть концерна "Сони". Из серверов, которые поддерживают веб-сайты компании "Сони пикчерз энтертейнмент", как объявили сами взломщики, в начале июня были похищены имена, даты рождений, почтовые и электронные адреса, номера телефонов и пароли сотни тысяч участников соревнований и конкурсов, которые проводит эта фирма. Два месяца назад неизвестные злоумышленники взломали ее глобальную интернет-сеть компьютерных игр "Плейстейшн нетворк", похитив сведения на примерно 100 млн пользователей. Это стало крупнейшей хакерской атакой за всю историю Интернета.

Источник: radiomayak.ru

Второе чтение проекта ФЗ «О персональных данных», внесенного Резником В.М.

   Совет Государственной Думы Федерального Собрания Российской Федерации:

«Проект федерального закона № 282499‑5 "О внесении изменений в Федеральный закон "О персональных данных" (в части уточнения условий и правил обработки персональных данных), внесенный в Государственную Думу депутатом Государственной Думы В.М.Резником, предлагается включить в проект порядка работы Государственной Думы 17 июня 2011 года для рассмотрения во втором чтении».

Госдума приняла закон "О национальной платежной системе"

   14.06.2011, Москва. Госдума приняла во втором и третьем чтении законопроект "О национальной платежной системе". Кроме того, был принят закон "О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона "О национальной платежной системе".

   Закон "О национальной платежной системе" определяет, что национальная платежная система - это совокупность операторов по переводу денежных средств (включая операторов электронных денежных средств), банковских платежных агентов (субагентов), платежных агентов, организаций федеральной почтовой связи при оказании ими платежных услуг в соответствии с законодательством РФ, операторов платежных систем, операторов услуг платежной инфраструктуры.

   Закон о национальной платежной системе устанавливает правовые и организационные основы национальной платежной системы, регулирует порядок оказания платежных услуг, в том числе осуществления перевода денежных средств, использования электронных средств платежа, деятельность субъектов национальной платежной системы, а также определяет требования к организации и функционированию платежных систем, порядок осуществления надзора и наблюдения в национальной платежной системе. Определяется, что операторами национальной платежной системы являются Банк России, Внешэкономбанк и кредитные организации, имеющие право на осуществление перевода денежных средств.

   Согласно закону, надзор и наблюдение в национальной платежной системе будет осуществляться Банком России. Субъекты национальной платежной системы обязаны гарантировать банковскую тайну, а также защиту информации о средствах и методах обеспечения информационной безопасности, персональных данных и иной информации, подлежащей обязательной защите в соответствии с законодательством РФ.

   Ко второму и третьему чтениям в законопроекте были уточнены порядок оказания платежных услуг, требования к деятельности оператора по переводу денежных средств, требования к деятельности платежного клирингового центра, требования к деятельности расчетного центра, правила платежной системы.

   В законе определено, что участниками платежной системы могут быть операторы по переводу денежных средств (включая операторов электронных денежных средств); профессиональные участники рынка ценных бумаг, страховые организации, органы Федерального казначейства; организации федеральной почтовой связи. В случае заключения между операторами платежных систем договора о взаимодействии платежных систем участниками платежной системы могут являться центральный платежный клиринговый контрагент и (или) расчетный центр другой платежной системы, действующие по поручению оператора такой платежной системы. Участниками платежной системы также могут являться международные финансовые организации, иностранные центральные (национальные) банки, иностранные банки.

   В документе определены три вида электронных платежей: неперсонифицированное, персонифицированное и корпоративное электронное средство платежа. Без идентификации можно будет осуществлять платежи не более 15 тыс. руб. Общая сумма переводимых электронных денежных средств с использованием одного неперсонифицированного электронного средства платежа не может превышать 40 тыс. руб. в течение календарного месяца. Сумму платежа более 100 тыс. руб. нужно будет осуществлять с предъявлением документов (персонифицированное средство электронного платежа).

   Корпоративное электронное средство платежа будет использоваться идентифицированными юридическими лицами. Максимальный остаток на конец рабочего дня - 100 тыс. руб.

   В законе пересмотрены предложенные в первом чтении подходы к регулированию национальной платежной системы. Сохранены заложенные в действующем гражданском кодексе системы регулирования безналичных расчетов.

   По словам главы комитета Госдумы по финансовому рынку Владислав Резник, в законопроекте также было минимизировано нормотворчество Центробанка РФ. Все отсылочные нормы в максимальной степени подняты на уровень законов, особенно это касается нормативных актов, которые затрагивали организацию и деятельность платежных систем, надзора и наблюдения за ними. Впервые мы прямо указали на недопустимость применения ЦБ РФ санкций за невыполнение его требований рекомендательного характера", - отметил В.Резник.

   В законе уточнено понятие электронных денег и перевода электронных денег как новой формы безналичных расчетов. В законопроекте указано, что такие переводы осуществляются исключительно кредитными организациями по поручению своих клиентов. Этим кредитным организациям ЦБ РФ будет выдавать специальный вид облегченных лицензий, которые будут давать право на работу с электронными денежными средствами. Сами электронные деньги определены как денежные средства, которые внесены клиентами в кредитные организации, которые учитываются без открытия банковских счетов.

   В законе заложены основы регулирования мобильных платежей, которых не было в тексте законопроекта при первом чтении. Кроме того, были уточнены положения, связанные с электронными средствами платежа, под которыми понимаются разные способы удаленного управления денежными средствами, находящимися в кредитных организациях. Закреплены права и обязанности участников этих отношений. По словам В.Резника, важной поправкой можно считать положение "о том, что бремя доказывания, если что-то произошло, лежит на банках, хотя им эта ситуация не очень нравится".

   Также изменена редакция поправки, касающаяся международных платежных систем. В соответствии с законопроектом инфраструктура платежной системы включает расчетный центр, платежно-клиринговый и процессинговый центр. Расчетный и платежно-клиринговый центры должны быть локализованы в России, а процессинговый центр может находиться как в России, так и за рубежом.

   При этом международные платежные системы, точно так же как и национальные, должны будут утверждать правила и любые изменения правил у Центробанка РФ, обеспечивать бесперебойность услуг, которые они представляют, в том числе услуг операторов клиентов, с которыми они имеют соответствующие договоры. В противном случае это приведет к лишению регистрации и невозможности работать на рынке РФ.

Федеральный закон вступает в силу по истечении 90 дней после дня его официального опубликования, за исключением некоторых положений.

Источник: rbc.ru

Распоряжение № 376-РП «О базовом регистре информации, необходимой для предоставления государственных услуг в г. Москве»

   Интересное распоряжение № 376-РП «О базовом регистре информации, необходимой для предоставления государственных услуг в г. Москве» подписал 12 мая Сергей Собянин.

   Такое электронное хранилище исчерпывающих персональных данных и в страшном сне не может присниться. Краткую характеристику этому распоряжению дал Михаил Емельянников в своем блоге - http://emeliyannikov.blogspot.com/2011/05/blog-post_29.html

14-летний хакер получит работу в Microsoft

   14-летний школьник из Дублина, взломавший игру Call of Duty: Modern Warfare 2, получил предложение от корпорации Microsoft о трудоустройстве. Как сообщает .Руформатор, ему была предложена должность специалиста по безопасности.

   Как заявил генеральный директор Microsoft в Ирландии Пол Реллис, компания планирует работать со школьником, «чтобы развить его талант для применения в законных целях». Молодой человек избежит судебного преследования.

   Ирландский подросток сумел обойти защиту популярной онлайн-игры Modern Warfare 2 для консоли Xbox, получив доступ к информации о 77 млн игроках по всему миру.

Источник: Aif.ru

Посредники довели «Тинькофф Кредитные Системы» (ТКС-банк) до прокуратуры

   Банк "Тинькофф Кредитные Системы" (ТКС-банк) получил представление прокуратуры за рассылку предложений оформить кредитную карту без согласия получателя. Банк сослался на действия своих агентов, которые производили рассылку от его имени. Менять модель работы ТКС-банк не намерен, однако в отношении агентов пообещал принять меры.

   О нарушении законодательства о персональных данных ТКС-банком сообщила вчера пресс-служба Мосгорпрокуратуры. Как выяснили в ходе проверки сотрудники Хорошевской межрайонной прокуратуры, банк при неустановленных обстоятельствах стал обладателем персональных данных жительницы столицы, которая получила по почте предложение оформить кредитную карту ТКС-банка. Согласно закону "О персональных данных", их обработка может осуществляться только с письменного согласия субъекта персональных данных. По мнению сотрудников прокуратуры, действий по информированию получателя об обработке его персональных данных ТКС-банк не предпринимал, вследствие чего в адрес председателя правления банка было направлено представление об устранении нарушений закона.

   В ТКС-банке взять на себя вину отказались. По словам вице-президента по маркетингу ТКС-банка Олега Анисимова, персональные данные при направлении предложений о выпуске кредитных карт обрабатывает не банк, а агенты—партнеры банка от имени последнего на основании заключенных договоров. "В соответствии с указанными договорами агенты осуществляют рассылку по своим базам данных, гарантируя банку наличие письменного согласия потенциальных клиентов на обработку их персональных данных. В случаях поступления жалоб банк проводит расследования и принимает меры к соответствующим агентам или их сотрудникам, допустившим нарушения",— отметил господин Анисимов. По его словам, в данном случае Хорошевскую прокуратуру удовлетворили эти объяснения банка, но случай этот для ТКС-банка не уникален — клиенты "периодически" выражают недовольство неожиданными предложениями оформить кредитную карту. Впрочем, в ТКС-банке не собираются в связи с этим корректировать модель бизнеса, в частности, отказываться от рассылки предложений через партнеров.

   "Само по себе направление предложения оформить кредитную карту без согласия получателя не является нарушением закона о защите прав потребителя",— указывает начальник управления защиты прав потребителей Роспотребнадзора Олег Прусаков. Нарушается лишь закон "О персональных данных" — при их обработке без согласия клиента. Однако, по словам партнера юридической фирмы Lidings Андрея Зеленина, ссылка на договор с агентом в таком случае является для банка довольно весомым аргументом, нужно лишь доказать, что банк действительно принял меры для того, чтобы убедиться в законности действий агентов. "Получатель рассылки, конечно, может потребовать с банка через суд возмещения морального вреда, однако доказать, что такие письма предоставили их получателю неудобство, будет довольно сложно",— указывает он.

Источник: http://www.kommersant.ru/

Объем штрафов в отношении операторов персональных данных в 2010 г вырос в 60 раз до 4,48 млн руб

   Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций /Роскомнадзор/ в 2010 г провела 1253 проверки в отношении операторов, осуществляющих обработку персональных данных. Об этом говорится в отчете Роскомнадзора "О деятельности уполномоченного органа по защите прав субъектов персональных данных за 2010 год".

   В результате проверок, 36 проц из которых были внеплановые, было выдано 1908 предписаний об устранении выявленных нарушений, составлено и направлено на рассмотрение в суды 2996 протоколов об административных правонарушениях. По результатам рассмотрения представленных материалов судами вынесены постановления о привлечении операторов к административной ответственности в виде штрафа на общую сумму 4,48 млн руб, что почти в 60 раз больше показателей 2009 г.

   В 2010 г количество обращений граждан составило 1829 против 465 обращений в 2009 г.

   Во 2-м полугодии 2010 г по требованию Роскомнадзора в судебном порядке была прекращена деятельность 16 интернет-ресурсов, незаконно распространявших персональные данные граждан Российской Федерации.

   Основными задачами на 2011 г Роскомнадзор видит: оптимизацию усовершенствование формы взаимодействия с правоохранительными органами по выявлению розничных торговых точек, осуществляющих незаконную деятельность по реализации баз данных, содержащих персональные данные граждан, на физических носителях; осуществление на постоянной основе мониторинга деятельности операторов, направленного на предупреждение, выявление и пресечение нарушений в области персональных данных; работа по выявлению и пресечению деятельности ресурсов, незаконно распространяющих персональные данные граждан в информационно – телекоммуникационной сети Интернет, в том числе в судебном порядке и посредством организации взаимодействия с уполномоченными органами иностранных государств и национальными регистраторами доменных имен; координация деятельности и обмен опытом с уполномоченными органами иностранных государств.

Источник: bit.prime-tass.ru