Институт МОИБ - информационная безопасность

Очередная компания, обратившаяся к нам за консультационной поддержкой, оказалась в поле зрения Роскомнадзора по причине нарушения требований ФЗ-152, касающихся обеспечения конфиденциальности и возможной утечки личных данных.          В рамках межведомственного взаимодействия таможенная служба передала РКН данные о том, что при проверке транспортного средства, вывозящего макулатуру с территории РФ в Республику Беларусь, были обнаружены копии документов, содержащих персональные данные граждан РФ.  ...

Провели в марте у клиента — крупной федеральной промышленной компании — аудит документации по персональным данным на соответствие обработки и защиты ПДн требованиям законодательства. Данный проект у нашего клиента проводил лицензиат ФСТЭК и ФСБ России, и заказчик был уверен, что статусный исполнитель с убедительным портфолио проведет работы качественно и компетентно. А что оказалось по итогу? Приведем лишь один пример из нашего отчета по аудиту. В рамках технического задания исполнитель подготовил новую редакцию Уведомления об обработке персональных данных для его подачи в Роскомнадзор...

На днях к нам обратился за срочной консультацией руководитель одного из региональных СМИ после неожиданного визита в их компанию представителей Управления ФСБ России. Как и любая организация в России, городской информационный центр использует квалифицированные электронные подписи, а значит, применяет шифровальные средства для защиты информации, в том числе персональных данных. Понятие СКЗИ сегодня прочно вошло в наш лексикон, стало нормой, а вот выполнение существующих требований к использованию...

В который раз, сдавая проект нашему заказчику по аудиту и обработке персональных данных, ловишь себя на мысли, как непросто быть ответственным за организацию обработки персональных данных, тем более в компании, где отсутствует штатное структурное подразделение по защите информации. С момента приема-сдачи проекта ответственный берет на себя нелегкую ношу, ведь руководство теперь считает, что исполнитель проекта всё разработал, всё подготовил, все точки над "и" расставил, а теперь, товарищ ответственный,...

С марта 2022 года действует мораторий на проверки в области персональных данных, но это не значит, что инспекторы Роскомнадзора не осуществляют «невидимый» контроль за компаниями. Неожиданности могут подстерегать любого оператора персональных данных. Один из наших срочных проектов последних недель был связан с плановым контрольным мероприятием Роскомнадзора в одном из регионов ЦФО. Мероприятия систематического наблюдения - это на сегодня единственный легальный вид планового надзорного мероприятия,...

Обсуждение поправок ко второму-третьему чтению в Государственной Думе законопроекта о наказании за утечки персональных данных подходит к финалу. Видимо, до конца этого года депутаты обновят статью 13.11 КоАП РФ, и в 2025 год мы войдем с новыми штрафами. Несколько дней назад один из участников этой дискуссии – Минэкономразвития - предложил любопытную инициативу. При этом нет смысла сейчас комментировать их главное предложение по кратному снижению предложенных после первого депутатского чтения санкций – какими они окончательно останутся – решать ГД РФ...

*Дата публикации на сайте imoib.ru - 26.11.2024 Согласно проекту документа Государственной Думы РФ (после второго чтения), размещенному на портале официального опубликования правовых актов, размер штрафов руководителям за утечки персональных данных от одной тысячи до десяти тысяч субъектов персональных данных составит 200 тысяч рублей вместо 800 тысяч, предусмотренных после февральского первого чтения в ГД РФ. Как и все надеялись после опубликованного ранее текста, законопроект претерпел значительные изменения по суммам штрафов...

Практика взаимодействия Роскомнадзора с организациями, ставшими «жертвами» утечек персональных данных, в последнее время, до вступления в силу с 30 мая 2025 года новых составов правонарушений по ч.12-14 ст.13.11 КоАП РФ, начала формироваться. Интересная история произошла с одной из компаний, обратившейся к нам за поддержкой в марте 2025 года. В середине 2024 года у этой организации была подтверждена утечка персональных данных. Оператор ПДн, используя облачные технологии для своих баз данных, был...

Статья подчеркивает важность повышения осведомленности сотрудников об информационной безопасности в организациях. Содержание программ осведомленности об информационной безопасности часто не соответствует требованиям и не учитывает специфику организаций. Автор предлагает использовать деятельностный подход для разработки программы повышения осведомленности, где модули отражают цель, объект, процесс, средства и методы и результаты ИБ-компонента деятельности сотрудников подразделений организации, не связанных с защитой информации...

Статья показывает важность постепенного перехода от традиционной стратегии работы с сотрудниками организации, основанной на повышении осведомленности об информационной безопасности (ИБ), – к стратегии формирования и развития культуры их кибербезопасности.  Повышение осведомленности сотрудников об ИБ в сегодняшних условиях стремительной динамики угроз утрачивает необходимую результативность. Автор обосновывает необходимость сделать акцент на культуре кибербезопасности, предполагающей не только повышение...

В статье приведены результаты исследования ООО «Институт мониторинга и оценки информационной безопасности» (сокращенно ИМОИБ) по проблемам работы организаций с сотрудниками как потенциальными нарушителями правил информационной безопасности (ИБ). Выявлена недооценка контроля сотрудников как способа предотвращения утечек информации по их вине. Обоснована необходимость интеграции мер доверия и контроля в условиях меняющегося ландшафта угроз ИБ в России. Одним из направлений деятельности Института мониторинга и оценки информационной безопасности является научно-аналитическая деятельность...

В статье приведены аргументы в пользу острой необходимости принятых 30 ноября 2024 года федеральных законов, ужесточающих ответственность за нарушение норм обработки персональных данных и их утечки. Последние изменения ландшафта угроз информационной безопасности выдвигают на первый план не технические, а организационно-правовые аспекты защиты персональных данных во всем мире.  Усиление организационно-правовой защиты персональных данных обосновано в контексте новых мировых трендов обеспечения кибербезопасности...