четверг, 31 декабря 2009 г.

Обезличивание персональных данных

Обезличивание персональных данных

Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных
Обезличенные персональные данные относятся к 4-й категории персональных данных, конфиденциальность для которых обеспечивать не нужно.
1) Право на обезличивание персональных данных у оператора есть по федеральному закону.
2) Требований к «правильному» обезличиванию не существует.
3) Способы и алгоритмы обезличивания персональных данных оператор, осуществляющий обработку персональных данных, определяет самостоятельно.
Способов обезличивания можно выделить несколько:
  • Уменьшение перечня обрабатываемых сведений;
  • Замена части сведений идентификатором/ами;
  • Замена численных значений минимальным, средним, или максимальным значением (например, иногда нет необходимости обрабатывать сведения о возрасте каждого субъекта, достаточно обрабатывать данные о среднем возрасте по всей выборке или отдельным ее частям);
  • Понижение точности некоторых сведений (например, «Место жительства» может состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только город)
  • Деление сведений на части и обработка в разных информационных системах;

С моей точки зрения, не должно существовать автоматизированных алгоритмов, как из обезличенных данных снова получить Персональные данные, какой-нибудь, например, 1-й категории, хотя мысли о том, как это сделать возникают и вопрос остается обсуждаемым.
Критерием обезличенности, учитывая закон и здравый смысл, выступает возможность определить на основании этих сведений конкретного человека, при учете контекста обработки. Другими словами, вопрос: «Будут ли считаться обезличенными персональными данными сведения о субъекте, в которых нет Ф.И.О.?» – некорректен, нужно видеть контекст.
Очевидно, что использование обезличивания может сильно снизить класс информационных систем персональных данных со всеми вытекающими положительными последствиями.
Автор: Царев Евгений
Софт сертифицированный ФСТЭК
Автор: на Комментариев нет:

Что такое недекларированные возможности? Средства защиты информации.

Недекларированные возможности
Из руководящего документа "Защита от несанкционированного доступа к информации
Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. Утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 4 июня 1999 г. № 114.
2.1. Недекларированные возможности - функциональные возможности ПО, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
Реализацией недекларированных возможностей, в частности, являются программные закладки.
2.2. Программные закладки – преднамеренно внесенные в ПО функциональные объекты, которые при определенных условиях (входных данных) инициируют выполнение не описанных в документации функций ПО, приводящих к нарушению конфиденциальности, доступности или целостности обрабатываемой информации.
2.3. Функциональный объект – элемент программы, осуществляющий выполнение действий по реализации законченного фрагмента алгоритма программы.
В качестве функциональных объектов могут выступать процедуры, функции, ветви, операторы и т.п.
2.4. Информационный объект - элемент программы, содержащий фрагменты информации, циркулирующей в программе. В зависимости от языка программирования в качестве информационных объектов могут выступать переменные, массивы, записи, таблицы, файлы, фрагменты оперативной памяти и т.п.
2.5. Маршрут выполнения функциональных объектов – определенная алгоритмом последовательность выполняемых функциональных объектов.
2.6. Фактический маршрут выполнения функциональных объектов – последовательность фактически выполняемых функциональных объектов при определённых условиях (входных данных).
2.7. Критический маршрут выполнения функциональных объектов – такой маршрут, при выполнении которого существует возможность неконтролируемого нарушения установленных правил обработки информационных объектов.
2.8. Статический анализ исходных текстов программ – совокупность методов контроля (не)соответствия реализованных и декларированных в документации функциональных возможностей ПО, основанных на структурном анализе и декомпозиции исходных текстов программ.
2.9. Динамический анализ исходных текстов программ – совокупность методов контроля (не)соответствия реализованных и декларированных в документации функциональных возможностей ПО, основанных на идентификации фактических маршрутов выполнения функциональных объектов с последующим сопоставлением маршрутам, построенным в процессе проведения статического анализа.
Автор: на Комментариев нет:

вторник, 22 декабря 2009 г.

Закон "О персональных данных" - отсрочка на год до 1.01.2011

Госдума приняла в третьем чтении поправки к закону "О персональных данных". Согласно им срок приведения информационных систем в соответствие с законом переносится на один год – до 1 января 2011 года.

Закон "О персональных данных" был принят в 2006 году. Его пункты, касающиеся защиты персональных данных в автоматизированных системах, должны были начать действовать с 1 января 2010 года. В них ужесточаются требования по защите информации ко всем операторам персональных данных, то есть к тем организациям и людям, которые собирают и хранят сведения о гражданах. Речь идет о следующих данных: имя, фамилия, дата рождения, семейное положение, адрес, телефон, паспортные данные и пр. Все организации, работающие с персональными данными, в течение трех лет были обязаны установить на компьютеры сертифицированные системы защиты и провести их аттестацию. Однако многие из них заявляли о том, что не успевают провести необходимые мероприятия.

Теперь поправки должен одобрить Совет Федерации, после чего документ будет направлен на подписание президенту РФ.

Софт сертифицированный ФСТЭК
Автор: на Комментариев нет:

среда, 16 декабря 2009 г.

Оператор персональных данных

Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание такой обработки.
Операторами персональных данных должна обеспечиваться конфиденциальность персональных данных, за исключением случаев, обезличенных и общедоступных персональных данных.
Оператор персональных данных обязан принимать организационные и технические меры, для защиты ПД от НСД, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий (ст. 19, ч. 1)
Правительство РФ устанавливает требования к обеспечению безопасности ПД при их обработке (ст. 19, ч. 2)
Требования, предъявляемые к операторам персональных данных должны быть выполнены до 1.01.2010 г. (ст. 25)
Федеральные органы в области обеспечения безопасности и ПД ИТР и ТЗИ (ФСБ России и ФСТЭК России) осуществляют контроль и надзор.
Лица, виновные в нарушении требований несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность.

Федеральный Закон № 152-ФЗ «О персональных данных»

Автор: на 1 комментарий:

понедельник, 14 декабря 2009 г.

Организация защиты персональных данных

Мероприятия по защите персональных данных определяются на основе СТР-К и РД ФСТЭК России и реализуются в рамках подсистем СОБИ:
  • управления доступом
  • регистрации и учета
  • обеспечения целостности
  • криптографической защиты
  • антивирусной защиты
  • обнаружения вторжений
  • защиты от утечки за счет ПЭМИН (для ИС 1 и 2 классов)

Основные мероприятия по организации и техническому обеспечению защиты персональных данных обрабатываемых в ИС ПД.
Софт сертифицированный ФСТЭК
Автор: на 1 комментарий:
Ярлыки:

Число операторов персональных данных в России

На сегодняшний день Роскомнадзор насчитывает приблизительно 7 000 000 операторов персональных данных.
Софт сертифицированный ФСТЭК
Автор: на Комментариев нет:

воскресенье, 13 декабря 2009 г.

Сертифицированные ФСТЭК антивирусы



Средства защиты информации (технические, программные, программно-технические) подлежат сертификации в Системе сертификации средств защиты информации по требованиям безопасности информации Гостехкомиссии России.
 Софт сертифицированный ФСТЭК

Автор: на 2 комментария:

Проверка публикации (проверка символов `~!@#$%^&*-_'/"\)

содержание проверка ссылки
проверка символов `~!@#$%^&*-_'<>/"\
Автор: на Комментариев нет:
Ярлыки:

пятница, 11 декабря 2009 г.

Федеральный Закон № 152-ФЗ «О персональных данных»


Операторами персональных данных должна обеспечиваться конфиденциальность персональных данных, за исключением случаев, обезличенных и общедоступных персональных данных.
Оператор обязан принимать организационные и технические меры, для защиты ПД от НСД, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий (ст. 19, ч. 1)
Правительство РФ устанавливает требования к обеспечению безопасности ПД при их обработке (ст. 19, ч. 2)
Требования должны быть выполнены до 1.01.2010 г. (ст. 25)
Федеральные органы в области обеспечения безопасности и ПД ИТР и ТЗИ (ФСБ России и ФСТЭК России) осуществляют контроль и надзор
Лица, виновные в нарушении требований несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность

Федеральный Закон № 152-ФЗ «О персональных данных»
Автор: на 2 комментария:
Ярлыки:
Подписаться на: Сообщения (Atom)