29 марта 2015 г.

Пишем Политику компании в отношении обработки персональных данных (Часть 1)

Обоснование необходимости Политики в отношении обработки персональных данных (ПДн):
-для всех:
- ФЗ-152 (ст. 18.1, ч. 1, п. 2);
-для банков дополнительно:
- Стандарт Банка России СТО БР ИББС-1.0-2014 “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения”, пункт 7.10.5.2.: “Организация БС РФ должна опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему ее политику в отношении обработки ПДн, а также к сведениям о реализуемых требованиях по обеспечению безопасности персональных данных.”

Оглавление Политики формируем, исходя из норм 152-ФЗ, а именно из главы 3, статьи 14, части 7:

В общем случае это может выглядеть так:
1. ОБЩИЕ ПОЛОЖЕНИЯ
2. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4. СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
7. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА ПЕРСОНАЛЬНЫХ ДАННЫХ (например, Банка)
8. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
9. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ ФЕДЕРАЛЬНОГО ЗАКОНА «О ПЕРСОНАЛЬНЫХ ДАННЫХ»
10. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

18 марта 2015 г.

IDC IT Security Roadshow 2015

18 марта в Москве прошла традиционная 13-я по счету международная конференция "IDC IT Security RoadShow 2015". Удивило количество народа – полный зал. И это несмотря на то, что количество бесплатных мест (VIP) проанонсированное организаторами - 250. Было гораздо  больше. Кроме привычных, за редким исключением, неплохих выступлений поставщиков решений по IT-безопасности (не люблю слово “вендоры”), несомненный интерес присутствующих привлекла панельная (надо в wiki посмотреть, почему “панельная”?) дискуссия “Целенаправленные атаки”. 

15 марта 2015 г.

Образцы журналов по ИБ-безопасности

Часто, при проведении аудита информационной безопасности в филиалах банка, сталкиваешься с ситуацией, когда нет утвержденного необходимого и достаточного перечня журналов по ИБ-безопасности. А мы знаем, что разные регуляторы требуют при проверке разные журналы. Попробуем разобраться.