27 октября 2017 г.

9 ноября: VIII Международная конференция «Защита персональных данных»

9 ноября пройдет уже VIII Международная конференция «Защита персональных данных», мероприятие, организованное Роскомнадзором, на котором есть редкая возможность послушать представителей всех регуляторов и надзорных органов в сфере персональных данных – Роскомнадзора, Минкомсвязи, ФСБ и ФСТЭК, и даже задать им вопросы.
Задать вопросы можно и заочно, по приглашению Роскомнадзора я буду вести заключительное мероприятие конференции - круглый стол «Свободный микрофон с регуляторами», на котором предполагается участие представителей всех перечисленных выше органов власти. Для обсуждения предложены следующие темы: 
·    Положение дел в области защиты прав субъектов персональных данных. Риск-ориентированный подход и иные факторы развития системы государственного контроля в области персональных данных. Новые составы административной ответственности: первые итоги правоприменения.
·    Состояние информационной безопасности в цифрах и фактах: основные итоги государственного контроля (надзора) и анализ существующих проблемных вопросов.
Основные вопросы для участников круглого стола я уже подготовил, но у каждого из читателей блога есть возможность поучаствовать в формировании повестки – присылайте свои вопросы мне, самые интересные будут использованы в ходе диалога.
Кроме круглого стола в программе конференции – пленарная панельная дискуссия о глобальных проблемах неприкосновенности частной жизни, цифрового суверенитета, регулирования Больших данных, модерировать которую будет руководитель Роскомнадзора Александр Жаров, а также две секции Международной экспертной встречи, на которых выступят Юрий Контемиров, Салават Мигранов, Артем Сычев и многие другие (на выступления отводится по 15 минут). Темы – самые острые: перспективы и направления развития нормативной правовой базы в области обработки персональных данных, критерии составов административных правонарушений в новой редакции ст. 13.11 КоАП РФ, грядущий GDPR, персональные данные в финансовой сфере, криптография для персональных данных и моделирование угроз, национальная биометрическая платформа и т.д.
На второй панели я за 15 минут планирую рассказать о проблеме получения согласия работников в письменной форме на передачу их персональных данных с учетом сложившейся правоприменительной и судебной практики (отдельное согласие для каждой цели и каждого обработчика), корреляции статей 88 ТК РФ и части 4 статьи 9 закона «О персональных данных», последствий отказа работника дать такое согласие или его отзыва. Близкие по теме выступления о согласии субъекта будут у Эльмана Мехтиева, исполнительного вице-президента Ассоциации российских банков, и Розендоевгения Монтерея Чепова, комиссара Национального института информации открытого доступа и защиты персональных данных Мексики.
Жду вопросов и до встречи на конференции!

25 октября 2017 г.

Безопасность цифровой личности в государственных системах: резервное копирование и восстановление данных

В государственных органах, органах местного самоуправления, государственных и муниципальных учреждениях и предприятиях стало накапливаться огромное количество информации в цифровой форме о каждом из нас – в различных информационных системах, базах данных, приложениях. Это, с одной стороны, существенно повысило доступность информации и облегчило доступ к ней всех заинтересованных участников отношений, но, с другой стороны, привело к возникновению новых проблем. Уничтожение и модификация таких данных также стали значительно проще.
Между тем, многие данные, перекочевавшие с бумажных носителей, из картотек и архивов в электронные базы данных, не только важны, а критически важны для человека. И дело не только в пенсиях, льготах или историях болезни, хотя и это очень важно. Завладев так называемыми «государственными идентификаторами», однозначно определяющими их владельца при электронном общении с государством и его структурами, злоумышленник скрыто и безнаказанно может действовать от имени пострадавшего субъекта, который и не ведает о том, что кто-то управляет его собственностью, пенсионными накоплениями, совершает сделки и т.д. Появилось принципиально новое в истории человечества преступление – кража цифровой личности, когда у человека в виртуальной, но конкретно проецирующейся на его жизнь реальности появляется двойник, не отличимый для участников отношений в цифровом мире от него самого.
О том, как и почему это происходит, чем заканчивается и что делать читайте в моей новой объемной статье «Безопасность цифровой личности в государственных системах: резервное копирование и восстановление данных». Статья и запись вебинара, организованного компанией Veeam с моим участием, доступны после регистрации.
В статье на реальных примерах рассматриваются вопросы:
·       Какие государственные ИТ-системы персональных данных уязвимы для атак на доступность, целостность и конфиденциальность, и к каким последствиям может привести реализация таких атак?
·       Какие источники угроз существуют для персональных данных в государственных системах?
·       Что способствовало проникновению в 2017 году вирусов WannaCry и Petya в ИТ- системы государственных органов, и каковы возможные последствия?
·       Почему восстановление функционирования значимого объекта критической ИТ- инфраструктуры является важнейшей задачей безопасности, и к каким последствиям может привести невыполнение этого требования?
Обращая внимание на проблемы, я стараюсь показать направления и пути их решения. В данном случае, в качестве примера для решения поставленных задач рассматривается продукт Veeam Backup & Replication, новая версия 9 которого прошла инспекционный контроль и в августе 2017 года получила переоформленный сертификат соответствия ФСТЭК России техническим условиям, указанным в формуляре продукта, и требованиям к 4-му уровню недекларированных возможностей.
Читайте, думайте, используйте…

2 октября 2017 г.

Видео: Зачем российской компании знать о законе Евросоюза о персональных данных?

В конце прошлой недели состоялся Международный онлайн-форум Microsoft «You Trust IT. Путь к безопасности бизнеса» - очень интересное и отлично организованное мероприятие, в котором заочно приняли участие более 1200 участников.
В наше агентство поступает много запросов о новом законе Евросоюза о персональных данных (The General Data Protection Regulation, GDPR), его влиянии на ведение бизнеса в России и российскими компаниями за ее пределами. На целый ряд вопросов я дал ответы в своем выступлении на Форуме (просто о сложном J):
• На кого в России будут распространяются требования GDPR? 
• Каковы последствия введения GDPR для российских компаний и их дочерних компаний за рубежом? 
• Чем отличаются европейский The General Data Protection Regulation и Федеральный закон от 27.07.2007 № 152-ФЗ «О персональных данных»?
Видеозапись выступления (23 минуты) доступна по ссылке http://mssecurity.ru/player (при поиске ориентируйтесь на мое лицо, не ошибетесь ;)). Также можно посмотреть  здесь https://broadcast.comdi.com/player/r78mqshn.