Вебинар: Типовые ошибки операторов при построении системы защиты персональных данных

Во вторник, 24 июля компания «Код Безопасности» проводит бесплатный вебинар «Типовые ошибки операторов при построении системы защиты персональных данных. Способы решения проблем соответствия требованиям 152-ФЗ». Ну, а рассказывать про типичные ошибки и способы достижения соответствия требованиям регуляторов буду я.

В основе семинара – обзоры типичных нарушений, выявляемых в ходе контрольной и надзорной деятельности, в первую очередь – ФСБ России и ФСТЭК России, поскольку речь пойдет, в основном, о проблемах технической защиты. Бытует расхожее мнение о том, что до наделения этих органов соответствующими полномочиями на предприятиях и в организациях, не являющихся государственными, проверок с их стороны ждать не стоит. Да и планы проверок этих уважаемых федеральных служб составлены так, что разобраться в них сложно – в плане ФСТЭК на 2012 год среди поставленных целей проверки выполнения требований по защите персональных данных нет, а в плане ФСБ проверяемые вопросы вообще не указаны, и узнать из него, какие проверки будут проводиться именно по тематике персональных данных, нельзя.

Но есть еще сайт Генеральной прокуратуры, на котором размещен «Сводный план проверок субъектов предпринимательства на 2012 год». И пусть вас не смущает название – в плане есть сведения не только о проверках коммерческих организаций, но и органов власти. Построен он, правда, в виде поисковой системы, а среди параметров поиска целей проверки или проверяемых вопросов нет. Но если надо узнать, включена ли в план конкретная организация, и кто ее будет проверять, сделать это довольно легко. Можно попробовать и навскидку. Так, при вводе всего двух параметров – субъекта федерации и надзорного органа, можно выяснить, что из пяти проверок ФСБ, например, в Республике Адыгея три посвящены контролю за выполнением хорошо знакомого всем читателям Постановления Правительства № 781, т.е. как раз защите персональных данных с использованием криптографических средств.

Деятельность ФСБ и ФСТЭК в области персональных данных не так публична, как Роскомнадзора. Но кое-что узнать о ней все-таки можно. Я уже писал, что в этом году в «Отчет о деятельности Уполномоченного органа по защите прав субъектов персданных за 2011 год» включены сведения о проверках этих федеральных служб. Есть еще публичные выступления на различного рода конференциях и редкие статьи в специализированных изданиях.

На базе всего этого материала и будут проанализированы типичные недостатки при построении подсистемы безопасности информационных систем персональных данных, вызывающие претензии регуляторов, а к ним добавим еще и те ошибки, которые иногда выявляются в ходе проектной деятельности и связаны с подходом самого оператора персональных данных к их обработке. Т.е. говорить мы будем про грабли в траве, наступать на которые смысла никакого нет.

Предвижу ехидные записи, появляющиеся на подобных проводимых мною вебинарах в чате: «Рекламная пауза!». Да, «латание дыр» и эффективные решения будут проиллюстрированы примерами с продуктами компании «Код Безопасности». Если кто-то ждет чего-то другого от бесплатного вебинара, организуемого и проводимого вендором, стоит задуматься над адекватностью восприятия мира J и воздержаться от участия в этом мероприятии

Регистрируйтесь. На прошлом вебинаре было более 200 слушателей. Мест, как показывает опыт, может не хватить тем, кто решит поучаствовать слишком поздно.