Altirix Systems
Входит в Альтирикс Групп
Горячая линия
8 (800) 20-187-02

Новости

​​📣⚡️⚡️Операторы ПДн = субъект ГосСОПКА❓

Вот и случилось то, что ещё недавно слабо можно было предоставить. С лёгкой руки законодателя, и на волне защиты персональных данных представителей спецслужб, обусловленной, как мне кажется, недавними громкими расследованиями Российской политической оппозиции, в сжатые сроки был принят Федеральный закон от 30.12.2020 № 515-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения конфиденциальности сведений о защищаемых лицах и об осуществлении оперативно-розыскной деятельности». На ряду с прочим, данным законом были внесены изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», которыми всех операторов персональных данных, имеющих информационные системы персональных данных, обязали реализовывать меры по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них. Хорошо, конечно, что на этапе думских чтений законопроекта из него была исключена норма, в явном виде предусматривающая осуществлять взаимодействие с ГосСОПКА. Но позволяет ли эта корректировка расслабиться операторам ПДн, имеющих ИСПДн? На мой взгляд, даже такая формулировка несёт в себе определённые последствия в перспективе.
Вспомним недавний проект ГОСТ Р «Защита информации. Обнаружение, предупреждение и ликвидационный последствий компьютерных атак и реагирование на компьютерные инциденты. Термины и определения» (я понимаю, что это проект, но цитировать действующие Требования к подразделениям и должностным лицам субъектов государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, изданные ФСБ России в 2018 г., я не могу, так как документ имеет ограничительную пометку «Для служебного пользования», но в нем необходимая терминология схожа с приведённым проектом ГОСТа). В соотвествии с этим проектом ГОСТа вводится понятие сущности «Субъект ГосСОПКА», которая очень знакома субъектам КИИ. Субъектам ГосСОПКА являются государственные органы Российской Федерации, российские юридические лица и индивидуальные предприниматели в силу закона или на основании заключенных соглашений, осуществляющие обнаружение компьютерных атак, предупреждение компьютерных атак, ликвидацию последствий компьютерных атак, и реагирование на компьютерные инциденты.
Как видно, рассматриваемые изменения в Федеральный закон от «О персональных данных» привели к тому, что операторы ПДн, имеющие ИСПДн, теперь являются субъектами ГосСОПКА, что, несомненно, добавит им головной боли.
Скорее всего, стоит ожидать, что в ближайшее время ФСБ России, как федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, вскоре модернизирует свои нормативные правовые акты, учитывающие прирост субъектов ГосСОПКА, не являющихся субъектами КИИ. К сожалению, нельзя однозначно сказать, что отсутсвие в Федеральном законе от «О персональных данных» явного указания на необходимость взаимодействия с ГосСОПКА, означает что субъекты ГосСОПКА, являющиеся операторами ПДн, не должны с ней взаимодействовать. Уже сейчас можно посоветовать операторам ПДн, имеющих ИСПДн, ознакомиться с данной статьей не ресурсе safe-surf.ru, подумать о формате своей структурной единице ГосСОПКА (не забывая профессиональный стандарт «Специалист по обнаружению, предупреждению и ликвидации последствий компьютерных атак», утверждённый приказом Минтруда от 29.12.2015 № 1179н).
—————————————————————
Но во что же действительно выльются эти поправки для операторов ПДн?

@bureaucraticsecurity
30 декабря 2020 г.
​​⚡️Общедоступных ПДн больше нет

Вот и добрался до официальной публикации Федеральный закон от 30.12.2020 № 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», который на стадии проекта представлялся сумбурным и трудно читаемым. Однако, как видно, Думские чтения оказали влияние на предложенный текст законопроекта и, как следствие, на выходе получился несколько иной Закон.
Теперь из понятийного аппарата Федерального закона «О персональных данных» исключено понятие «общедоступные ПДн», которое заменено на «ПДн, разрешённые субъектом ПДн для распространения». Примечательно, что сохраняются общедоступные источники ПДн, однако, как следует из внесённых поправок, включение ПДн в такие источники теперь не означает, что данные ПДн можно распространять свободно (нужно получить соответствующее согласие).
Кстати о согласии. Чтобы оператору ПДн начать обрабатывать ПДн, разрешённые субъектом ПДн для распространения, необходимо получить соответствующее согласие, к которому, к слову, не предъявляется требований по форме (т.е. оно необязательно должно быть письменным, читай, удовлетворяющим ст. 9 Федерального закона «О персональных данных»), но:
➡️ установлена необходимость его обособления от других согласий на обработку ПДн;
➡️ содержание такого согласия должно включать, как минимум, перечень ПДн по каждой из категории ПДн, которые разрешается распространять (опционально такое согласие может содержать запреты на передачу и обработку ПДн неопределённому(ым) кругу(ом) лиц.
Примечательны и исключения, касающиеся обработки ПДн, разрешённых для распространению. Так, никакие запреты, установленные субъектом ПДн, на передачу и обработку или условия обработки ПДн, разрешённых для распространения, перестают действовать, если это касается неких государственных, общественных и иных публичных интересов, установленных законодательством Российской Федерации. Кроме того, внесённые поправки не применяются в случае обработки ПДн федеральными органами исполнительной власти, органами исполнительной субъектов Российской Федерации, органами местного самоуправления при выполнении возложенных на них функций, обязанностей и полномочий.

@bureaucraticsecurity
30 декабря 2020 г.
​​📯Административная ответственность за нарушение правил создания, замены и выдачи ключа ЭП, используемого при оказании госуслуг

Официально опубликован Федеральный закон от 30.12.2020 № 516-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», вводящий административную ответственность за нарушение правил создания, замены и выдачи ключа ЭП, используемого при оказании государственных и муниципальных услуг в электронной форме.

@bureaucraticsecurity
30 декабря 2020 г.
Хак-группу Energetic Bear обвиняют во взломе правительственных сетей США

Власти США заявили, что спонсируемая российским правительством хакерская группа Energetic Bear атаковала правительственные сети США и успешно их взломала.

https://xakep.ru/2020/10/23/energetic-bear-hacks/

@xakep_ru
23 октября 2020 г.
ИБ-эксперт подобрал пароль к Twitter Дональда Трампа с пятой попытки

Известный специалист по безопасности, руководитель GDI Foundation, Виктор Геверс (Victor Gevers) рассказал, что ему удалось подобрать пароль от Twitter-аккаунта президента США Дональда Трампа: «maga2020!». Представители Twitter заявили, что у них нет никаких подтверждений слов эксперта.

https://xakep.ru/2020/10/23/trumps-twitter/

@xakep_ru
23 октября 2020 г.
Назад Вперед
Политика конфиденциальности© Altirix Systems 2010-2020

ООО «Альтирикс системс» (Редакция от 13.05.2020)

1. Общие положения

1.1. Настоящая Политика конфиденциальности (далее – Политика) ООО «Альтирикс систем» (далее – Компания) действует в отношении процессов сбора и обработки данных посетителей сайта 187-ФЗ.РФ (далее – Сайт).

1.2. Основные типы данных посетителей Сайта (далее – Пользователь):

  1. Персональные данные (далее – ПДн) в составе электронных форм обратной связи, заполняемых Пользователем при использовании сервисов Сайта («Задать вопрос», «Получить помощь», «Заказать звонок» и другие).
  2. Техническая информация, включающая в себя сведения, автоматически получаемые сервером при доступе к Сайту (ip-адрес, версия браузера, прочее) и файлы «cookie» (текстовые файлы или фрагменты, сохраняемые браузером Пользователя на компьютере, смартфоне или ином устройстве).

2. Персональные данные

2.1. Для использования сервисов Сайта Пользователем могут быть указаны следующие ПДн: ФИО, контактные данные (email, телефон), место работы.

2.2. ПДн обрабатываются Компанией в следующих целях:

  1. взаимодействие с Пользователем для возможного сотрудничества и/или заключения договора;
  2. формирование и предоставление ответа на полученное обращение или запрос Пользователя;
  3. предоставление Пользователю сведений о потенциально интересных Пользователю услугах или предложениях Компании.

2.3. Компания не передает ПДн Пользователя третьим лицам.

2.4. Электронные формы обратной связи предусматривают дополнительные поля для ввода произвольной информации на усмотрение Пользователя. Пользователю запрещается указывать в указанных полях ввода какие-либо ПДн.

2.5. После заполнения полей ввода, предусмотренных электронной формой обратной связи, Пользователь может нажать кнопку для отправки введенных сведений в адрес Компании. Этим действием Пользователь подтверждает свое согласие с обработкой своих ПДн в соответствии с условиями Политики.

3. Техническая информация

3.1. Техническая информация (в т.ч. файлы «cookie») используется для функционирования Сайта и повышения качества предоставляемых услуг. Информация в обобщенном виде (статистические данные) используется для оценки использование Сайта Пользователями.

3.2. Пользователь может самостоятельно посредством настройки браузера ограничить или исключить использование файлов «cookie» на Сайте. Такое ограничение может привести к некорректной или неполной работе Сайта.

3.3. При посещении Сайта Пользователю отображается уведомление о необходимости ознакомиться с Политикой и принять ее условия. В случае, когда Пользователь продолжает использовать Сайт, Компания считает, что Пользователь принял условия Политики.

3.4. На сайте используется сторонний сервис «Яндекс.Метрика» (ООО «ЯНДЕКС»), в связи с этим техническая информация может быть передана в указанную компанию для формирования аналитической информации об использовании Сайта.

4. Политика защиты

4.1. Все обрабатываемые данные Пользователей относятся к конфиденциальной информации. Компания выполняет все установленные законодательством меры по защите таких данных.

4.2. Обработка ПДн, полученных через электронные формы обратной связи, ведется в соответствии с требованиями законодательства Российской Федерации о ПДн.

5. Ответственность сторон

5.1. Компания вправе в любое время в одностороннем порядке изменять, дополнять и иным образом корректировать условия Политики без уведомления Пользователя.

5.2. Внесенные изменения вступают в силу с даты размещения новой версии Политики на Сайте. Дата внесения изменений в Политику указывается непосредственно в новой версии Политики. Пользователь должен самостоятельно проверять наличие новой версии Политики.

5.3. Пользователь имеет право не соглашаться с условиями Политики, в таком случае он не может использовать Сайт и его сервисы.

5.4. Пользователь имеет все права, установленные законодательством Российской Федерации, в отношении получаемых Компанией данных (п.1.2.21). В случае необходимости связаться по вопросам, связанным с реализацией этих прав, можно воспользоваться любой из электронных форм обратной связи и/или связаться с Компанией по контактным данным, указанным на Сайте в разделе «Контакты».

5.5. На Сайте могут содержаться ссылки на другие сайты, страницы, каналы. Компания не несет ответственности за их содержание и политику безопасности.
Мы используем файлы cookie, чтобы сделать наш веб-сайт удобнее для вас. Продолжая просматривать данный веб-сайт и его разделы, вы соглашаетесь с Политикой конфиденциальности