ГлавнаяНовостиСтатьиКаталогВендорыСтандартыОбучениеКонтакты  +7 (495) 231-4831    © 


[ Список статей ] ...


С-Терра СиЭсПи. Защита удаленного доступа. Доверенный сеанс связи

CNews. Fortinet включает защиту уровней доступа в систему обеспечения ИБ

CNews. ИТ-подразделениям всё труднее контролировать корпоративные данные в «облаке»

Jammer.ru. Apple следит за своими поль-зователями через Yosemite

Lenta.ru. Разоблачение «Корпорации добра»

Securelist. Доставка от спамеров: опасность гарантирована

Lenta.ru. Интернет-Мерфи

3DNews. Сноуден как повод

Компьютерра. Plug&Pray: скрытая атака через USB

SecurityLab. Как я взломал роутер

Securelist. Дыры в защите корпоративной сети: облачные сервисы

Андрей Козенко, Султан Сулейманов. «Не понимают, как работает интернет»

Евгений Золотов. Windows 8.1: ставка на PC (а PC харкает кровью)

Евгений Царев. Впечатление от PHDays 2013 или кто заказчик кибербезопасности в России?

Олег Парамонов. Десять страхов: крах интернета, Big Data, утрата знаний и другие вещи, которые пугают учёных и футурологов

Brian Donohue. Альтернативные браузеры с улучшенной защитой

Андрей Васильков. Десять лучших пакетов офисных программ

Securelist. Спам в марте 2013

Бёрд Киви. Специалисты предупреждают...

Андрей Шуклин. Big Data: новый рынок, новые перспективы

Luis Corrons. Twitter, Facebook, Apple, Microsoft… кто следующий?

Елена Гореткина. Роль ИТ в повышении конкурентоспособности российских университетов

Сергей Бобровский. Кому сегодня выгодна борьба с пиратством и кто в нём виноват?

Алексей Лукацкий. 1 сентября в отрасли ИБ может наступить коллапс...

Олег Парамонов. Десять перспективных технологий, о которых через несколько лет узнают все

Михаил Емельянников. СМС-оповещения о движении средств по счету: всегда ли это безопасно

Евгений Золотов. Мрачные итоги Pwn2Own: почему браузеры так легко взломать и почему линуксоидам можно волноваться меньше?

xakep.ru. Криминалистический подход к анализу временных атрибутов файлов в операционной системе семейства Microsoft Windows и файловой системе NTFS

Securelist. Спам в январе 2013

Pandalabs. По данным Pandalabs, в 2012 году была инфицирована треть мирового числа компьютеров

Евгений Золотов. Цифровые теракты: страшная сказка становится былью

Leyre. Безопасный Интернет-серфинг

Лаборатория Касперского. Операция 'Red October' — обширная сеть кибершпионажа против дипломатических и государственных структур

Юрий Михайлов. Пять древних поисковиков, которые не перевернули мир (не считая Lycos)

Алексей Лукацкий. ИБ в год Змеи. Прогнозы и перспективы

Panda Security. Уязвимости будут основной целью киберпреступников в 2013

Лаборатория Касперского. Дед Мороз:Мошенник или волшебник?

Vision 2030. Информационная безопасность в 2030 году: прежними останутся только люди

Андрей Колесов. 2012-й — юбилейный год отечественного ИТ-рынка

PC-Week. Обновление до Windows 8: ответы на наиболее часто задаваемые вопросы

Лаборатория Касперского. Факты года: TOP 5 ужасов Рунета

CRN. 10 важнейших событий 2012 года в сфере безопасности

Емельянников M.. Панегирик выставочному бизнесу [в области информационной безопасности]

Черевко С.А.. Аспекты и перспективы развития информационной безопасности мобильных устройств

Uncr0wneD. Крэкинг: практика взлома и теория защиты

3dnews. Вы не любите одноразовые пароли? Тогда мы идём к вам!

Luis Corrons. Правда ли, что там опубликованы мои откровенные фотки?..

Популярная механика. Как убить интернет

Vasilis Pappas, Michalis Polychronakis, Angelos D. Keromytis. Устранение гаджетов: противодействие возвратно-ориентированному программированию путем рандомизации кода на месте

Специалист «Лаборатории Касперского». miniFlame, он же SPE: «Элвис и его друзья»

Steve Durbin. Большие возможности — большие риски

Л.Бесцветный. Три дня InfoSecurity Russia глазами обычного человека

Мария Наместникова. Спам в августе 2012 года

Исследовательский центр "Лаборатории Касперского" (GReAT). Полный анализ командных серверов Flame

AV-Comparatives. AV-Comparatives Июль 2012: Тестирование проактивной защиты антивирусов

Ana Etxebarria. Интернет-груминг: орудие педофилов

Лукацкий Алексей. Какой была безопасность в 90-х годах?

Юрий Наместников. География киберпреступлений. Западная Европа и Северная Америка

Роб Шапланд. Методы защиты от brute-force login attack

Евгений Касперский. Что в виндовсе тебе моём?

SecurityLab. Эксперты: Малые и средние компании под угрозой хакерских атак

Доктор Веб. Обзор вирусной активности в августе 2012 года: растущие ботнеты, уязвимость Java и новые угрозы для Android

Panda Security. Подростковый секстинг: бегущие по лезвию

Дарья Гудкова и Мария Наместникова. Спам во втором квартале 2012

Евгений Касперский. Сейф для денег

PandaLabs. Ежеквартальный отчет PandaLabs

Юрий Наместников. Развитие информационных угроз во втором квартале 2012 года

Наталья Анищук. Защита от DDoS-атак: поле для творчества и фантазии

Ной Шахтман. Парадокс Евгения Касперского

WhatsBetter.ru. Что лучше: Windows 7, Vista или XP?

WhatsBetter.ru. Какой антивирус лучше?

Илья Шабанов. Названы самые комфортные в работе антивирусы

Мария «Mifrill» Нефедова. Облава: о том, как спецслужбы ловят дропов, и не только

Алексей Кадиев. Ботнет Bredolab. Конец истории?

Юрий Ильин. «Добровольные» DDoS-атаки: комментарии экспертов

Александр Панасенко. Угрозы в сфере информационной безопасности: итоги 2010 и прогнозы на будущее

Берд Киви. За кулисами кибервойны

Берд Киви. Шифровальщик устал...

Chad Perrin. Эффективное уничтожение данных на жестких дисках и других накопителях

Н.Н. Федотов. Риски системного администратора: семь и еще один способ подвести сисадмина под монастырь

Берд Киви. Ближе к железу

Microsoft TechNet. Десять непреложных законов безопасности

Анатолий Темкин. Как карта ляжет

Андрей Сидельников. Правообладатели не придумали, как делить болваночный сбор

Антон Носик. Лохотрон в зоне .рф

Максим Букин. Лжевирусы атакуют

habr.ru. Взгляд на современные системы защиты от спама веб-форм

Кристиан Функ. Мошенничество в онлайн-играх: развитие нелегальной игровой экономики

Роман Гольд. Stuxnet: война 2.0

Вячеслав Закоржевский. Лазутчики киберкриминала

Cio.com (перевод — Елена Фирсова). Самые опасные работы в области технологий

Берд Киви. Боевой червь Stuxnet

Юрий Машевский. Антивирусный прогноз погоды: облачно

xakep.ru. Как найти украденный ноутбук?

Евгений Асеев. Небезопасный интернет

Курт Баумгартнер. Фальшивые антивирусы: актуальные тенденции

Chad Perrin. Новый взгляд на безопасность Windows: побудит ли решение Google отказаться от продуктов Microsoft и другие компании?

Максим Букин. Безопасность виртуальных платежей

Наталья Касперская. Intel купил McAfee

Виталий Краснов. Хакеры атакуют: как уберечь DNS-сервер

Вадим Стеркин. Так ли страшен контроль учетных записей

Берд Киви. В постели со шпионами

Юрий Ильин. Zeus: вирус, который грабит банки

Виталий Краснов. Гонка вооружений антиспама нарастает

Валерий Марчук. Еще один 0-day в Microsoft Windows или Stuxnet атакует

Владислав Пономарев. Троянская война

Алехандро Мартинез-Кабрера. Стереть себя из Интернета невозможно

Ника Парамонова. Эпоха Windows XP закончилась

Владимир Жилинский. Аппаратные кейлоггеры

Берд Киви. Конфликт криптографии и бюрократии

Берд Киви. Человек против обмана

Мартин Пранкевич. На коротком поводке: ограничиваем пользователей, выслеживаем нарушителей и наводим порядок в локальной сети

Мэтью Саррел. Главные на данный момент угрозы безопасности

Татьяна Никитина. ТОР10 киберпреступлений, в которых Запад отыскал «российский след»

Берд Киви. Безмолвный очевидец

Наталья Касперская. Нужен ли пользователю интернет-паспорт?

Михаил Емельянников. Как защищать персональные данные в интернете

lifehacker.com. Как отличить одно вредоносное ПО от другого

Максим Букин. Как защититься от мобильных мошенников

habr.ru. Взлом сайта: простые советы по безопасности

Виталий Краснов. Бизнес под ударом: веб-приложения остаются «дырявыми»

Дарья Гудкова. Спам и закон

Николай Двас. Запад обвинил Россию в развязывании кибервойн

habr.ru. Узнаем пароли пользователей 1С

Анна Володина. Спам-реклама: дешево и эффективно?

arstechnica.com. Офисный копир — еще одна брешь в безопасности?

mail.ru. 10 самых опасных вирусов в истории Интернета

habr.ru. Ваш автомобиль в недалеком будущем может быть запросто взломан хакерами

Валерий Васильев. Текущее состояние ландшафта кибер-преступности

Артур Лоянич. Как украсть чужой пароль

habr.ru. Банкоматных вирусов пост

Андрей Сидельников. Цензура интернет-трафика становится обычной практикой

Берд Киви. Шпион в кармане

Юрий Машевский. CrimeWare: новый виток противостояния

THG.ru. Symantec: кризис киберпреступности не помеха

Георг Вишерски. Опасности на пути пользователей социальных сетей

Дмитрий Тараканов. За кем охотится ZeuS

Ольга Зайцева. Dr.Web 6.0: ищем изменения

Славик Маркович. Пять главных тенденций в области защиты данных в 2010 году

Дэвид Эмм. Как залатать человеческие уязвимости?

Максим Букин. «Левые» контракты и ошибочные счета

Валерий Васильев. Весна 2010: кибер-преступность и кибер-защита

Олег Зайцев. Интернет магазины — как не стать жертвой мошенников

marcofolio.net. Профилактика SQL-инъекций

Michael Kassner. Свободные адреса IPv4 почти закончились

Владимир Гайкович. Рынок ИБ — это взрослое существо в детской одежде

InfoWatch. Глобальное исследование утечек за 2009 год

habr.ru. Если пришла проверка

Леонид Черняк. Безопасность: облако или болото?

Мария Сысойкина. Internet Explorer 8: Безопасный или неуязвимый?

Александра Бершадская. Биометрическая идентификация: о надежности технологии

Валерий Васильев, Дмитрий Сергеев. Человек — самое слабое звено в ИБ

Иван Шадрин. Корпорации стали уязвимее для хакерских атак

Michael Kassner. Информационная безопасность: что год 2010-й нам готовит?

xakep.ru. 2009: cамые громкие дела ушедшего года

Tom's Hardware Guide. Резервирование и восстановление данных: обзор трёх решений для Windows 7

Игорь Бахарев, Андрей Ковалевский. Торрент потерял только имя

Павел Борисов. Пойман автор порноролика в Москве

Иван Шадрин. Фальшивые антивирусы научились запугивать пользователей

Андрей Крупин. Социальный бэкап

Иван Шадрин. Бизнес уходит в «облака»

Алексей Лукацкий. Информационная безопасность 2010

Андрей Крупин. Ещё раз о защите WiFi-сетей

Raymond.СС. Тестирование антивирусов на быстродействие (Raymond.CC, февраль 2010)

habr.ru. Распространенные заблуждения про банковские карточки

Максим Букин. Монетизация «зловредов»

Андрей Крупин. Киберугрозы: сценарий будущего по версии «Лаборатории Касперского»

Иван Шадрин. От программ-вымогателей можно избавиться вручную

George Kurtz. Операция «Aurora». Удар по Google и прочим

Алексей Алексеев. Как украсть мегабайт

Татьяна Фомичева. Вирус, ложь и видео

winblog.ru. Изучаем скрытые возможности Windows 7

VirusInfo. Кошелек или жизнь: деактивация троянов-вымогателей

Берд Киви. Сюжет из «Плейбоя»

Майор Мышкин. За что могут посадить компьютерщика?

Иван Шадрин. Скорая компьютерная помощь: мошенники по вызову

Андрей Колесов. Антивирусная атака Microsoft

Сергей Яремчук. Новый оборонительный рубеж: обзор популярных систем отражения локальных угроз

Борис Лихтман, Андрей Сидельников. Правительства берут интернет под контроль

Виталий Камлюк. Экосистема ботнетов

Мачей Жарек. %^ef$g73$5r(@&#!! — несколько слов о шифровании и алгоритмах

Андрей Крупин. Безопасность в Windows 7 во всех ракурсах

Дмитрий Копытин. Безопасность при межпроектном взаимодействии

habr.ru. Вы несете деньги в Банк, Банки несут деньги в Bitrix

Андрей Анненков, Ольга Федина. Чужая ОС — потемки, или Где купить XP

Валентин Маков. Сайтокрушение

Mark Russinovich. Миф о дублировании SID компьютера

itsec.ru. SSL-защита ваших данных

Андрей Крупин. Обзор Returnil Virtual System 2010

Лариса Погонина. Скандальное потепление

Андрей Родин. Наилучшая защита беcпроводных сетей

Рик Фэрроу. Переполнение буфера

Берд Киви. Атака c воздуха

Игорь Осколков. Google Chrome OS — это просто, быстро и безопасно!

Вячеслав Закоржевский. Лжеспасатели

katkovonline.com. Ботнет: «был твой — стал мой» или как ботнеты работают

Валерий Васильев. Защита персональных данных накануне 01.01.10

Michael Kassner. Десять способов обнаружения вредоносного ПО

Вадим Стеркин. Управление UAC в Windows 7 и Windows Server 2008 R2

Хайрук Сергей. Проверка на зрелость: сертификация средств антивирусной защиты

Brien Posey. Десять наиболее распространенных проблем, которые можно решить редактированием реестра

Наталья Касперская. Защита от утечек в малом бизнесе — неосвоенный кусок пирога!

SecurityLab.ru. Статистика уязвимостей web-приложений за 2008 год

habr.ru. Способы сокрытия IP-адреса в сети Internet

Дон Рейзингер. 10 аргументов, чтобы остаться на XP до выхода Windows 7 SP1

Николас Колаковски. Windows 7 завершит эпоху Windows XP

Марина Мякишева. Infosecurity 2009: под страхом ФЗ о персональных данных

Алексей Лукацкий. Психология и информационная безопасность

Евгений Зобнин. Устоять любой ценой: методы борьбы с DoS/DDoS-атаками

Дмитрий Чеканов. Режим Windows XP Mode и VirtualBox: когда без XP не обойтись

Кристиан Функ. Ловушки интернета

Игорь Крейн. Бесплатный антивирус Microsoft разгонит платных конкурентов?

Рашид Нургалиев. Электронный патруль

Дмитрий Дурасов. Forefront TMG Beta3: отчет о 3-х месячном тестировании

Джеймс Тернер. Особенности контроля учетных записей Vista

Кеннет Касс. Обратная сторона DLP

Валерий Коржов. Кризис, виртуализация и персональные данные

CNews. Виртуализация: Microsoft готовится к реваншу

Andy Smith. Результаты тестирования: Windows 7 RTM против Vista и XP

Андрей Крупин. Microsoft Security Essentials: антивирус не для всех

Владимир Безмалый. Технологии социальной инженерии

Алексей Стародымов. Возврат денег за ОС: первые результаты

habr.ru. Шнайер о проблеме деидентификации

Влад Чучко. Интервью с Натальей Касперской

Андрей Крупин. Новый подход к защите ПК от Symantec

Степан Ильин. 10 зло-вирусов. Самая нашумевшая малварь за последние 10 лет

Владимир Безмалый. Безопасность мобильных носителей информации

Максим Букин. «Зловреды» для мобильных пользователей

Валерий Васильев. Закон о персональных данных: «градус» обсуждения растет

Ольга Зайцева. Антивирусная защита: нужен второй эшелон

Владимир Безмалый. Автозагрузка в Windows 7

webplanet.ru. МГУ vs DDoS: «Мы даем защиту. Бесплатно.»

Дамир Диздаревич. Механизм хранения имен пользователей и паролей

Владимир Безмалый. BitLocker в Windows 7

Андрей Крупин. Kaspersky Internet Security 2010: территория безопасности

Игорь Крейн, Владислав Михеев. «ВКонтакте» с фишерами и без

Ryan Singel. Google против Microsoft

Дмитрий Евтеев. Анализ проблем парольной защиты в российских компаниях

Андрей Крупин. Первый взгляд на Microsoft Security Essentials

Ольга Зайцева. Нужны ли антивирусы пользователям Mac OS?

Алексей Стародымов, Марина Пелепец. Спам в ICQ: механизмы и способы защиты

Дарья Гудкова. Спамеры Рунета

Андрей Крупин. Microsoft Office 2010: первые впечатления

Вениамин Левцов, Илья Новиков. Защита персональных данных: откладывать больше нельзя

Debra Littlejohn Shinder. Десять причин, по которым Vista-ненавистникам может понравиться Windows 7

Джон Грин. Защита на последнем рубеже (сравнение корпоративных антивирусов)

Артем Рябинков. Усиливаем аутентификацию или зачем нужны одноразовые пароли

Кирилл Алехин. 15 вопросов про спам

xakep.ru. Hyper-V: технология виртуализации для Windows Server 2008

Андрей Колесов. О Cloud Computing замолвите слово

Алексей Стародымов, Марина Пелепец. Вирусы в банкоматах: заключение

Андрей Колесов. О порядке смены ОС

Андрей Крупин. Тонкая настройка Internet Explorer 8

InfoSecurity.ru. Боевые заслуги червя Conficker

Группа информационной безопасности Group-IB. Краткий аналитический вопросник по бот-сетям в РФ 2009 год

Аналитический центр InfoWatch. Глобальное исследование утечек 2008

Владимир Безмалый. Новые технологии, старые проблемы

Евгений Шахов. Круговая защита вашего ПК (сравнение продуктов Internet Security 2009)

John Markoff. Нам нужен новый Интернет?

Питер Брайт, arstechnica.com (перевод – xakep.ru). Windows 7: бета-экскурсия

Данил Анисимов. Утечки данных: текущий год уже обогнал прошедший?

Ольга Федина. Пароль «123456» знаешь? Проходи!

Вадим Ференец. Новый альянс на рынке ИБ делает первые шаги

Андрей Крупин. Секреты Windows 7 Beta

SecurityLab. Тенденции ИБ в условиях кризиса

Владимир Ульянов. Итоги 2008: самые необычные утечки

Марина Мякишева. Кибервойна: вирусные аналитики подводят итоги года

Сергей Гордейчик. Оценка рисков использования Web-приложений

Владимир Ульянов. Персональные данные на практике остаются беззащитными (на основании исследования «Персональные данные в России 2008»)

Денис Зенкин. Уничтожение данных: скрытая угроза растет

Chad Perrin. Десять самых распространенных ошибок в сфере компьютерной безопасности, которые ни в коем случае нельзя совершать

SecurityLab. Международная статистика уязвимостей WEB

Владимир Ульянов. Инсайд 2008: Самые громкие и самые глупые утечки

Прокофьев Никита. Обзор Kaspersky Internet Security 2009

SecurityLab. Сравнение программных пакетов Internet Security – 2008

Интервью с Владимиром Мамыкиным. Информационная безопасность Microsoft

Tom's Hardware Guide. Сравнение программ резервного копирования для рабочих станций

Владимир Безмалый. Контроль использования USB-накопителей в Windows Server 2008

Жан де Клерк. Изоляция угроз из Internet в Windows Server 2008 и Vista

Михаил Карпов. Windows 7: первые сведения о новой системе

Иван Стогов. Сравнительный анализ антивирусного ПО

Дмитрий Антиномов. Защитное ПО в России: секретно ли секретное?

Законодательство. Федеральный закон Российской Федерации № 152-ФЗ «О персональных данных»

Законодательство. Постановление Правительства РФ от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»

Winblog. Защита файлов паролем

Сабадаш Даниил. Обзор Nero 8

Дмитрий Соколов. Подпись для электронного документа

Денис Михайлов. Взлом и защита учетной записи Windows XP

Андрей Письменный. Тестирование антивирусов

Елена Панасенко. Сменные носители – главное орудие инсайдеров

Михаил Ратнер. Побеждаем вирусы в Vista без использования антивирусных программ

Николай Гребенников. Методы защиты конфиденциальных данных в современных решениях класса Security Suite

Николай Полевой. Шпионит ли Microsoft за обладателями Vista?

Григорий Рудницкий. Kaspersky Internet Security 7.0: первый взгляд

Исследование компании InfoWatch и портала Zoom.CNews. Безопасность мобильных устройств 2007

Николай Гребенников. Клавиатурные шпионы. Часть II. Варианты реализации кейлоггеров в ОС Windows

Николай Гребенников. Клавиатурные шпионы. Принципы работы и методы обнаружения

Виталий Денисов. Опасность безопасных соединений

Андрей Шипилов. «Битрикс» сливается с «1С»

Александр Астахов. Борьба с инсайдерами: подбираем амуницию

InfoWatch. Утечки 2006 - глобальное исследование от InfoWatch

Наталья Касперская. Безопасность от Microsoft: шаг к обновленному миру?

Александр Астахов. Как построить систему управления информационной безопасностью

Константин Черезов. Проблема внутри? Решение там же!

Михаил Пышкин. Международный опыт управления информационной безопасностью для российских компаний

Юрий Машевский. Кража собственности в компьютерных сетях

Интервью с Сергеем Груздевым. Сегмент AAA в России является самым быстрорастущим в ИБ

Алексей Сабанов. Обзор технологий идентификации и аутентификации

Алексей Сабанов, Антон Крячков, Константин Демченко, Сергей Белов. Как управлять закрытыми ключами

Александр Астахов. История стандарта BS 7799

Марат Давлетханов. Secret Disk для защиты корпоративных данных

Ника Комарова. Как защитить компанию от кражи баз данных

Марат Давлетханов. Концепция одноразовых паролей в системе аутентификации

Алексей Доля. Защита конфиденциальных данных на ноутбуках и КПК

Rainbow Technologies. UTM-устройства на страже компьютерной сети

Rainbow Technologies. Атаки на сеть через переполнение буфера – технологии и способы борьбы

Алексей Лукацкий. Предотвращение сетевых атак: технологии и решения

Rainbow Technologies. Технология Precise BioMatch™ - объединяя лучшее в биометрической аутентификации

Опрос. Хакеры и сетевые вандалы: разница в мотивации

Обзор. Безопасность популярных операционных систем в 2006 г.

Полезные советы. Кардинг или безналичный обман

Исследование. Социокультурный аспект внедрения некоторых категорий средств защиты в организациях с преимущественно женским контингентом

Обзор. Развитие вредоносных программ: уязвимости в MacOS X, 2005 — 2006 год

Евгений Касперский. Прогнозы изменений в антивирусной индустрии

Олег Гудилин. Проактивность как средство борьбы с вирусами

Виктор Дронов. Портрет заказчика спамерских услуг в России

Пол Даклин. Простые советы по более разумному выбору и использованию паролей

Круглый стол. Источник со стороны

СофтПоинт. Проблемы безопасности данных в системе 1С Предприятие 7.7 и MSSQL 2000

Алексей Лукацкий. Размышления о Web-студиях и защищенном сайте

Аналитика. Почему ВУЗ не способен подготовить специалиста по безопасности

Законодательство. Правительство РФ утвердило "Положение о лицензировании деятельности по технической защите конфиденциальной информации"

 Вениамин Левцов, Илья Новиков 

Защита персональных данных: откладывать больше нельзя


  Закон "О персональных данных" (№152-ФЗ) поставил перед большинством российских компаний сложнейшую задачу, которую предстоит решить уже в этом году. Серьезность государства в этом вопросе очевидна: сформирована нормативная база, определена ответственность, контролирующие органы получили соответствующие полномочия, растет количество проверок. Между тем, сегодня далеко не все компании, обрабатывающие персональные данные, осознают необходимость их защиты и до конца понимают реальность и масштаб рисков невыполнения закона.

  С каждым месяцем вопрос защиты персональных данных (ПДн) становится острее. У организаций, обрабатывающих такую информацию, остается все меньше времени до 1 января 2010 года, чтобы привести свои информационные системы в соответствие с федеральным законом №152-ФЗ. То и дело от Роскомнадзора поступают недвусмысленные сигналы о необходимости подачи заявки на регистрацию в качестве оператора ПДн. Если компания этого не сделала, она нарушает установленные законом требования, и ее деятельность может быть приостановлена регулирующим органом. И, судя по действиям Роскомнадзора, массовые проверки уже не за горами.

  Закон №152-ФЗ несет в себе еще одну угрозу – дает дополнительный инструмент недобросовестным конкурентам. Что мешает подать заявление от лица субъекта персональных данных (конкретного гражданина) о нарушении его прав компанией, которой он сообщил личную информацию? Предприятие ждет еще одна проверка, отвлекающая силы от основного бизнеса. Поэтому задача построения защиты персональных данных выходит далеко за рамки полномочий департамента информационной безопасности. Ведь невыполнение требований закона несет угрозу не просто информационным ресурсам или интересам отдельных клиентов – возникает угроза для нормального функционирования самого бизнеса. Именно поэтому задача построения защиты персональных данных выходит далеко за рамки полномочий департамента информационной безопасности, и все важнейшие решения по проекту "Построение защиты персональных данных" должны приниматься на уровне высшего менеджмента организации.

  "Подавляющее большинство организаций до сих пор не запустило проекты по приведению информационных систем в соответствие с положениями закона "О персональных данных",– отмечает исполнительный директор Leta IT-company Андрей Конусов. – Промедление было связано, прежде всего, с тем, что лишь совсем недавно появился полный массив нормативных актов регуляторов. Вторая причина в том, что организациям очень непросто решиться на серьезные траты и реорганизацию ряда бизнес-процессов, сохраняя традиционную надежду на то, что "беда пройдет стороной". Но, как показывает практика, государство не изменило своих намерений добиться реализации положений закона "О персональных данных" – это наглядно демонстрируют массовые проверки, которые уже начали проводить территориальные подразделения Роскомнадзора. В этой ситуации можно обратиться к специализированным ИБ-компаниям, предлагающим услуги по построению информационных систем ПДн. Но следует помнить, что и их ресурс ограничен. Предпринимать конкретные шаги в соответствии с требованиями 152-ФЗ необходимо как можно скорее, не дожидаясь, когда в дверь постучит проверка".

Типичные заблуждения операторов ПДн

  Несмотря на то, что вопросы защиты персональных данных в России достаточно молоды, уже начали складываться определенные заблуждения в данной области. Приведем основные из них.

  Первое – это уверенность, что пока можно ничего не делать и подождать, пока кого-то накажут. Такая компания не несет пока никаких затрат, не обучает сотрудников и не задумывается об изменении сложившихся процессов обработки ПДн. И надеется, что первые же громкие случаи процессов или каких-то санкций заставят регулирующие органы внести существенные коррективы. Например, значительно расширить список средств, разрешенных для использования в системах защиты ПДн, или сдвинуть сроки готовности системы защиты ПДн. Но такая компания, тем не менее, сильно рискует. Санкции, предусмотренные существующим законодательством, существенны. Сценарии, которые могут привести к наложению санкций, вполне реалистичны. Быстро выполнить все работы – от получения лицензии ФСБ до изменения отдельных процессов обработки данных – в ходе проверки попросту невозможно.

  Другое заблуждение – убежденность в том, что действие закона не распространится именно на "нашу" компанию. Соответственно, тоже можно ничего не делать. Сторонники такого подхода приводят разные аргументы. Например, что в компании не ведется автоматизированная обработка персональных данных, и все делается на бумаге. Другие компании говорят: "У нас большая компания с иностранным капиталом, базы данных физически находятся на зарубежных площадках. Да и вообще – кто нас тронет?". Встречается и надежда на "блестящих юристов", которые докажут, что компания не является оператором ПДн. А некоторые считают, что если не подать заявку на оператора ПДн, то и с проверкой никто и не придет.

Закон №152-ФЗ ставит своей целью ввести достаточно жесткие ограничения, которым должен следовать оператор персональных данных

  Однако в большинстве случаев регулирующие органы не разделяют подобную позицию, и если компания попадет в поле надзора, санкции окажутся неминуемы. "Лазейки" в действующей нормативной базе пока не выявлены, а если они и найдутся, то они будут немедленно закрыты.

В чем заключаются требования закона?

  Закон №152-ФЗ призван защитить права и свободы человека при обработке его личной информации, в том числе право на неприкосновенность частной жизни, личную и семейную тайну. Персональные данные – это любая информация, относящаяся к определенному лицу: ФИО, адрес, номер телефона, семейное, социальное, имущественное положение, образование, профессия, размер доходов, отношение к религии, данные о здоровье, хобби – перечень поистине нескончаем. Также в законе определено понятие "оператор персональных данных" – это организация, которой свои персональные данные доверил сам человек, или другая организация, обрабатывающая их.

  По сути, закон ставит своей целью ввести достаточно жесткие ограничения, которым должен следовать оператор персональных данных. Как уже упоминалось, он устанавливает дату, к которой информационные системы ПДн, созданные до вступления закона в силу, должны быть приведены в соответствие с его требованиями – не позднее 1 января 2010 года. Кроме того, оператор персональных данных в большинстве случаев обязан направить в уполномоченный государственный орган соответствующее уведомление.

Регуляторы и персональные данные

  В соответствии с №152-ФЗ, в орбиту процессов, связанных с защитой ПДн, вовлечены три органа государственной власти: ФСБ, ФСТЭК и Роскомнадзор Министерства связи и массовых коммуникаций. Область ответственности у каждого из них своя. ФСБ традиционно курирует вопросы защиты информации с использованием средств шифрования (криптографии). ФСТЭК России осуществляет контроль защиты информации с применением технических средств. Одна из его компетенций – подтверждение отсутствия в средствах защиты информации недекларируемых ("шпионских") возможностей. Роскомнадзор является основным исполнительным и надзорным органом по защите прав физических лиц, чьи персональные данные обрабатываются.

  Роскомнадзор обладает следующими правами: проводить проверку сведений, содержащихся в уведомлении, поданном оператором; привлекать для такой проверки другие государственные органы (ФСБ, ФСТЭК); принимать меры по приостановлению или прекращению обработки ПДн, осуществляемой с нарушением требований закона; обращаться в суд с исковыми заявлениями в защиту прав субъектов ПДн и представлять их интересы в суде. А также направлять заявления в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия его лицензии; направлять в правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел в связи с нарушением прав субъектов ПДн; привлекать к административной ответственности лиц, виновных в нарушении закона.

  Список полномочий весьма внушительный – очевидно, что у Роскомнадзора достаточно рычагов воздействия практически на любую организацию. На практике регулировать данную сферу деятельности должен именно Роскомнадзор, а ФСБ и ФСТЭК будут привлекаться для контроля за реализованными мерами защиты ПДн. Дело в том, что организации, эксплуатирующие информационные системы ПДн определенных классов, должны получить лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации. Кроме того, технические средства, которые будут использованы для защиты ПДн, необходимо сертифицировать в ФСТЭК. Именно методики ФСТЭК должны быть положены в основу "Модели угроз" для каждой информационной системы, обрабатывающей ПДн. Этот документ предстоит разработать каждому оператору. На выполнении этих аспектов, скорее всего, и будут сфокусированы сотрудники ФСТЭК, привлекаемые для проверок.

  Закон также требует, чтобы организации, эксплуатирующие информационные системы ПДн определенных классов и передающие ПДн через общедоступные и международные сети, обеспечили их защиту с использованием криптографических средств. А деятельность по внедрению шифровальных (криптографических средств), как и по разработке телекоммуникационных систем, защищенных с использованием данных средств, подлежит лицензированию в органах ФСБ. Так что специалисты ФСБ в первую очередь уделят внимание наличию необходимых лицензий и использованию средств криптографической защиты, перечисленных в реестре ФСБ.

Что такое "категория персональных данных"

  Законодательство вводит новое понятие – "категория персональных данных", всего таких категорий – четыре. К четвертой, наиболее простой, относятся обезличенные и (или) общедоступные персональные данные. В третью включается информация, позволяющая идентифицировать субъекта ПДн. Во вторую категорию входят данные, позволяющие не только идентифицировать субъекта, но и получить о нем дополнительную информацию. И, наконец, самая высокая, требующая наиболее серьезной защиты, первая категория объединяет данные, в которых отражены расовая, национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья, интимная жизнь.

  В соответствии с достаточно понятными критериями, каждый вид ПДн относится к определенной категории, а каждая система, обрабатывающая ПДн, должна быть отнесена к конкретному классу. На класс влияет категория данных и другие признаки (распределенность информационной системы, количество записей ПДн в ней и т.д.). Очевидно, что уровень защищенности ИС должен соответствовать критичности данных. Именно поэтому для различных классов вводятся разные требования по степени защиты. Итак, чем менее детальную информацию можно получить о субъекте ПДн, чем меньше записей в системе и чем менее она распределена – тем ниже требования к защитным механизмам. С практической точки зрения крайне важно представить систему ПДн как относящуюся к "низшему" классу. Это позволит минимизировать затраты на обеспечение защиты персональных данных.

Ответственность за нарушение закона

  Ответственность при невыполнении требований закона, увы, достаточно серьезна, чтобы, по крайней мере, принять ее к сведению. Проанализировав КоАП РФ и УК РФ, можно выделить ряд статей, в соответствии с которыми будет определяться ответственность за нарушение требований по защите ПДн. КоАП Статья 5.39 – отказ в предоставлении гражданину информации. Ответственность – штраф до 1 000 руб., но также это может явиться основанием для ответственности по статье 3.12 (Административное приостановление деятельности). КоАП Статья 13.11 – нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах. Ответственность – штраф до 1 000 руб.

  КоАП Статья 13.12 – нарушение правил защиты данных. Ответственность – штраф от 10 000 до 20 000 руб. с конфискацией несертифицированных средств защиты информации или административное приостановление деятельности на срок до 90 суток. УК Статья 137 – нарушение неприкосновенности частной жизни. Ответственность может доходить до штрафа в размере ЗП осужденного за 18 месяцев или ареста на 6 месяцев. УК Статья 140 –отказ в предоставлении гражданину информации. Ответственность – штраф до ЗП за 18 месяцев либо лишение права занимать ряд должностей или заниматься определенной деятельностью. УК Статья 171 – незаконное предпринимательство. Ответственность – до 5 лет лишения свободы со штрафом в размере ЗП осужденного за 6 месяцев.

  Подчас приходится слышать, что пока эти статьи не работают и реального преследования никто осуществлять не собирается. Увы, это не совсем так – правоприменительная надзорная практика уже начинает складываться. Давайте представим несколько типичных ситуаций.

  Пример №1. Компания получает письмо от гражданина, данные которого ранее получила и включила в свои базы, с просьбой предоставить ему информацию о том, как ведется обработка его ПДн. Что им движет – непонятно. Возможно, искренний интерес, возможно, природная любовь к конфликтам, а может и недобрый умысел. В любом случае он имеет право на такое обращение в соответствии со статьей 14, частью 4 закона №152-ФЗ. Но компания не готова к тому, чтобы дать исчерпывающий ответ в отведенное время. Она не предоставляет затребованную информацию или предоставляет ее не полностью. Клиент, не получив в указанные в законе сроки ответ, обращается с жалобой в Роскомнадзор. Тот направляет в органы прокуратуры запрос о возбуждении уголовного дела в связи с нарушением прав субъекта персональных данных. Возможная ответственность: по КоАП ст.5.39 или по УК ст.140. И вот у вас под дверью прокурорская проверка.

Пример №2. Компания поспешно регистрируется в качестве оператора персональных данных. При этом многие аспекты опускаются или оставляются на будущее. В определенный момент компания получает предписание из Роскомнадзора о проверке информации, указанной в заявке на регистрацию в качестве оператора. При документальном изучении дополнительных данных Роскомнадзор делает предварительный вывод о недостаточности мер по защите ПДн. Например, сотрудникам Роскомнадзора не предъявляются копии сертификатов на средства защиты информации, не демонстрируются лицензии ФСТЭК, ФСБ или документы, описывающие модель угроз и поведение потенциального нарушителя. После чего Роскомнадзор направляет обращение в ФСТЭК и/или ФСБ по вопросу проведения внеплановой проверки организации с целью выяснения степени выполнения требований по обеспечению защиты ПДн.

Перед руководством встает классическая дилемма: использовать для защиты ПДн ресурсы собственных сотрудников или привлекать компанию-консультанта

  В ходе проверки выявляется, что данная организация эксплуатирует информационную систему определенного класса и в связи с этим должна была получить лицензию на деятельность по технической защите конфиденциальной информации ФСТЭК. Лицензии данная организация не имеет, и работ по ее получению она не начинала. ФСТЭК направляет отчет о проверке в Роскомнадзор, который, в свою очередь, направляет в органы прокуратуры или другие правоохранительные органы материалы для решения вопроса о возбуждении дела. Возможная ответственность: по КоАП ст.13.12 или по УК ст.171.

  Необходимо отметить и тот факт, что в УК РФ уже внесены изменения (статья 137), ужесточающие ответственность за нарушения, затрагивающие неприкосновенность частной жизни. Они вступят в силу с 1 января 2010 года.

Чем регламентирована защита ПДн

  Все законодательные и нормативные акты по защите ПДн можно разбить на две группы: общедоступные и закрытые. Перечень общедоступных правовых актов известен, но и к закрытым документам доступ получить несложно. По сути, это методические рекомендации, которым оператор ПДн должен следовать. Выпустил эти руководящие документы ФСТЭК, они носят гриф "Для служебного пользования", но предоставляются всем заявителям. Так что для их получения достаточно письменно обратиться в подразделение ФСТЭК по месту нахождения организации. Документы следующие: "Основные мероприятия по организации и техническому обеспечению безопасности ПДн, обрабатываемых в ИСПДн (информационной системе персональных данных)"; "Рекомендации по обеспечению безопасности ПДн при их обработке в ИСПДн"; "Базовая модель угроз безопасности ПДн при их обработке в ИСПДн"; "Методика определения актуальных угроз безопасности персональных данных при их обработке в ИСПДн". К открытым специальным актам по данной теме относятся также руководящие документы ФСБ, которые можно найти по ссылке http://www.rsoc.ru/main/directions/874/916.shtml. Там же опубликован ряд открытых актов по ПДн, а также документы Роскомнадзора, регулирующие порядок регистрации оператора персональных данных.

  Даже если построением системы занимается сторонняя компания, запрос на получение документов направить нужно. Причина проста – в случае проверки предприятие будет гораздо лучше выглядеть в глазах сотрудников ФСТЭК или ФСБ, если они увидят номерные копии руководящих документов среди прочей документации по проекту построения защиты ПДн. Если даже проверка выявит какие-то огрехи, будет учтено, что вы честно пытались разобраться, привлекали людей, изучали руководящие документы, закупали сертифицированные средства защиты. Все это, безусловно, сгладит возможные последствия.

Требования к средствам защиты ПДн

  Закон предполагает, что оператор применяет специализированное программное и аппаратное обеспечение в процессах сбора, обработки, передачи и хранения ПДн. Как уже упоминалось, средства защиты ПДн должны обладать сертификатами ФСТЭК или ФСБ. К счастью, регулярно обновляемые реестры всех этих средств доступны на официальных сайтах ФСТЭК и ФСБ. Государственный реестр сертифицированных средств защиты информации № РОСС RU.0001.01БИ00: http://www.fstec.ru/_doc/reestr_sszi/_reestr_sszi.xls. Перечень средств защиты информации, не содержащей сведений, составляющих государственную тайну: http://www.fsb.ru/fsb/supplement/contact/lsz/perechen.htm.

  В списках преобладают продукты отечественных производителей, но в последнее время все больше западных решений успешно проходит действующие системы сертификации. Так что с каждым годом выбор средств все более расширяется. Вполне реальна ситуация, когда в реестре упоминается средство, аналогичное тому, что уже установлено в компании, но не прошло процедуры сертификации. Если так, то это средство не будет рассматриваться проверяющим как надлежащий механизм защиты ПДн. Выходов в такой ситуации два: или переходить на использование сертифицированных средств или подавать на сертификацию уже применяемые. К сожалению, сертификация – очень непростая процедура, требующая вовлечения специализированной аккредитованной тестовой лаборатории, подготовки объемной документации о возможностях системы, предоставления исходных кодов. Кроме того, это может потребовать ощутимых расходов и займет не менее 6 месяцев.

  В соответствии с руководящими документами регуляторов для некоторых классов ИСПДн необходимо внедрить систему защиты, которая может состоять из 10 подсистем. Среди них: подсистемы антивирусной защиты; защиты от НСД; анализа защищенности и выявления уязвимостей; криптографической защиты информации; маршрутизации, коммутации и межсетевого экранирования; обнаружения вторжений. В ряде случаев (если это прямо указано в разработанной модели угроз или информационная система ПДн относится к первому классу) предполагается также внедрение и специфических систем, называемых "подсистемами защиты информации от утечки по техническим каналам". Они защищают персональные данные: от утечек по цепям электропитания и заземления; от утечек за счет побочных электромагнитных излучений и наводок; от утечек по акустическому (виброакустическому) каналу; от утечек за счет акустоэлектрических преобразований и высокочастотного навязывания.

  В таблице "Перечень подсистем ИБ в зависимости от класса ИСПДн" перечислены классы информационных систем ПДн и показано, какие подсистемы информационной безопасности должны быть внедрены для каждого класса, согласно руководящим документам ФСТЭК.

Перечень подсистем ИБ в зависимости от класса ИСПДн

Антивирусная защита Защита от НСД Анализ защищенности и выявление уязвимостей Подсистема обнаружения вторжения Подсистема маршрутизации, коммутации и межсетевого экранирования Подсистема криптограф. защиты информации
ИСПДн 1 (распред.) + + + + + +
ИСПДн 1 (локальн.) + + + - - +
ИСПДн 2 (распред.) + + + + + -
ИСПДн 2 (локальн.) + + + - - -
ИСПДн 3 (распред.) + + + + + -
ИСПДн 3 (локальн.) + + + - - -

Источник: Leta IT-company, 2009

  Подсистема криптографической защиты информации необходима только для ИСПДн, удовлетворяющих определенным условиям. В частности, ИСПДн должна быть многопользовательская с равными правами доступа к информации.

  В связи с этим можно дать практический совет. Следует рассмотреть возможность максимально полного использования сертифицированных средств защиты. Если же удастся снизить класс системы ПДн, то требования будут значительно скромнее. При этом начать надо с возможного сужения сегмента сети организации, в которой ведется обработка ПДн. Снизили класс системы ПДн, ограничили область обращения ПДн, выбрали оптимальный состав сертифицированных средств для защиты только данной области – и затраты станут значительно ниже.

  Встречаются, правда, сложные случаи, когда ПДн используются в рамках многофункциональных информационных систем уровня всей организации, например, банковских АБС. Такие системы, очевидно, не имеют сертификатов ФСТЭК, но даже получение их для одной версии не решит проблемы. Ведь эти ИС постоянно модернизируются – поддержание актуальности сертификатов на них в существующей системе сертификации невозможно. Пожалуй, единственное, что можно посоветовать в таком случае, – это обратиться в регулирующий орган с описанием проблемы. Хочется верить, что требования регуляторов после некоторого периода применения претерпят ряд изменений, которые будут предусматривать какой-то выход из данной ситуации.

Приглашать консультанта или делать самим?

  Как это часто бывает, перед руководством встает классическая дилемма: использовать ресурсы собственных сотрудников или привлекать профессиональную компанию-консультанта. Для ее решения можно посоветовать ответить на несколько вопросов. Достаточно ли у сотрудников организации квалификации, чтоб выполнить требования закона № 152-ФЗ? Есть ли у них понимание того, сколько времени займет и каких ресурсов потребует решение задачи по обеспечению соответствия закону №152-ФЗ? Кто из руководителей департаментов готов взять на себя ответственность за эффективный ход проекта по построению системы защиты ПДн? Какие действия должны быть предприняты для подачи уведомления от оператора ПДн? Как выполнить требования по защите ПДн, определенные в руководящих документах регулирующих органов, и не нарушить бизнес-процессы организации? Как минимизировать затраты на решение задач по обеспечению соответствия закону?

  Возможно, в компании есть специалисты, которые служили ранее в подразделениях ФСБ или ФСТЭК и знакомы с подходом регуляторов к вопросу защиты конфиденциальной информации. Они знают основные руководящие документы, в которых эти требования определены, им известно, как подаются заявки на лицензии ФСБ и ФСТЭК. Вовлечение таких специалистов, безусловно, окажет огромное содействие ходу проекта. Но надо отдавать себе отчет, что построение системы защиты ПДн – многоплановый проект, он затрагивает различные аспекты деятельности компании. Скорее всего, упомянутый выше специалист будет готов участвовать в нем только как эксперт, но не как руководитель.

  Наиболее эффективен подход, при котором для исполнения работ по проекту привлекается внешняя компания – интегратор информационной безопасности, но при этом организуется рабочая группа внутри предприятия. Правда, он, конечно, потребует дополнительных затрат на услуги подрядчика. В рабочую группу включаются следующие сотрудники компании: руководитель высшего звена в качестве спонсора проекта, глава департамента информационной безопасности как руководитель проекта и главный ответственный за его ход, глава или ведущий сотрудник ИТ-департамента, специалисты, имевшие опыт службы в ФСБ и ФСТЭК, юрист компании.

  Внутренняя команда будет осуществлять контроль за ходом проекта, привлечением внутренних ресурсов, мотивированием линейных менеджеров к активному содействию процессу и отвечать за эффективное финансирование проекта. А большую часть работ предстоит выполнить команде консультанта. При выборе подрядчика необходимо оценить следующие аспекты: какой опыт работы имеет данная компания на рынке информационной безопасности, обладает ли она необходимым набором лицензий регулирующих органов (ФСТЭК и ФСБ) для выполнения работ по защите ПДн; может ли компания поставить весь спектр необходимых сертифицированных решений и оказать содействие при аттестации ИСПДн (это требуется для определенных классов систем). Основная цель аттестации – подтвердить, что информационная система ПДн соответствует требованиям руководящих документов по безопасности данных, утвержденных ФСТЭК.

Этапы построения системы защиты ПДн

  После того, как в организации сформирована рабочая или проектная группа и выбрана сторонняя ИТ-компания, предстоит последовательно реализовать следующие этапы работы. Прежде всего, нужно определить все ситуации, когда требуется проводить сбор, хранение, передачу или обработку ПДн. Затем – выделить бизнес-процессы, связанные с такими ситуациями. Разумно выбрать ограниченное число бизнес-процессов и проанализировать их. В рамках такого исследования формируется перечень подразделений и сотрудников компании, участвующих в обработке ПДн в рамках своей служебной деятельности. Потом нужно определить круг информационных систем и совокупность обрабатываемых ПДн. Следующий шаг – категорирование ПДн и предварительная классификация ИС. Затем проводится выработка предложений по снижению категорий обрабатываемых ПДн. После этого формируется актуальная модель угроз для каждой ИСПДн, подготавливается задание по созданию требуемой системы защиты. Потом проводится уточнение классов ИС и подготовка рекомендаций по использованию технических средств защиты ПДн. Затем в Роскомнадзор подается уведомление о деятельности в качестве оператора ПДн, а в ФСТЭК – заявка на получение экземпляров руководящих документов по организации системы защиты.

  Эти работы предстоит выполнить на первом, начальном этапе. Именно в это время закладывается фундамент успеха всего проекта и делаются основные расходы на консалтинг. Но основанная работа происходит на последующих стадиях. Ведь они включают развертывание полноценной производственной системы обработки ПДн, полномасштабное внедрение средств защиты, аттестацию ИС, приведение всех бизнес-процессов обработки ПДн в соответствие с требованиями закона, реагирование на регулярные проверки и т.д.

Источник: CNews  




Рейтинг @Mail.ru

Rambler's Top100
Rambler's Top100