Как настроить работу с ПД на сайте клиники: база и тонкости

К сайтам медучреждений больше требований, чем к сайтам других бизнесов. Вы можете игнорировать и отрицать это, но за несоблюдение правил платить штраф всё равно придётся. Есть альтернативный вариант — доработать свой сайт и в разы снизить риски проблем с законом. Как это сделать, чему уделить внимание, какие документы и согласия подготовить, я рассказала здесь: собрала всё самое важное и актуальное. Узнать, как доработать сайт медорганизации

https://habr.com/ru/articles/934378/

#пд #персональные_данные #роскомнадзор #ркн #клиника #медицина #сайт #метрики #google_analytics #гугл_аналитикс

Как провести инвентаризацию информационных систем с персональными данными (ПДн)

После 30 мая в связи с вступлением в силу изменений в законе о защите персональных данных (152-ФЗ) многие компании озаботились соответствием требованиям этого закона, но не знают с чего начать и за что хвататься. Начинать я рекомендую с инвентаризации. Инвентаризация информационных систем персональных данных (ИСПДн) – это базовый шаг для построения системы защиты данных. Она позволяет понять, где и как хранятся персональные данные , кто имеет к ним доступ и какие угрозы нужно нейтрализовать. Без полного учета таких систем есть риск пропустить уязвимые места, а при проверке контролирующими органами можно столкнуться с неожиданными вопросами: какие у нас системы обрабатывают ПДн, какие данные там содержатся, где расположены базы, какими средствами защиты они защищены? Если заранее этого не знать, проверки могут обернуться паникой. Ниже рассмотрим небольшой пошаговый план, как правильно провести инвентаризацию ИСПДн, чтобы избежать подобных проблем и обеспечить соответствие требованиям законодательства.

https://habr.com/ru/articles/935660/

#информационная_безопасность #персональные_данные #152фз #испдн

Zero Trust Architecture и персональные данные

Эта статья — продолжение серии статей, опубликованных в этом блоге, в которых мы пытаемся отслеживать влияние новых технологических трендов на пересечении кибербезопасности и искусственного интеллекта на основной бизнес нашей компании — удостоверение персональных данных (ПД). Продумывая перспективы использования ИИ-агентов для наших задач, включая борьбу с фродом и ИИ-фродом, мы пришли к выводу, что перестройка нашей собственной системы невозможна без учета архитектурных изменений, происходящих в ИТ системах наших клиентов. Самые радикальные изменения в архитектуре корпоративных систем компаний, предоставляющих массовые услуги, которые требуют удостоверения ПД, связаны с чуть менее, чем полной переменой взглядов на кибербезопасность корпоративных систем. В «клиент-серверной» архитектуре предыдущего поколения наши услуги по удостоверению персональных данных помогали выявлять фрод, связанный с использованием чужих ПД из похищенных баз данных, которые стыдливо называют утечками, а также ПД, добытых обманом по так называемой «технологии социального инжиниринга». При этом предполагалось, что охрана своих собственных систем остается в руках наших клиентов. Если злоумышленникам удалось собрать набор ПД, который достаточен для получения товаров или услуг от чужого имени, наши проверки уже не помогают. ПД — правильные, просто они уже находятся в чужих руках. С этого момента сервис-провайдер доверяет предъявителю ПД и предоставляет ему доступ с привилегиями и полномочиями, статически приписанными этим ПД.

https://habr.com/ru/companies/idx/articles/932274/

#Персональные_данные #zta #NIST_80024 #NIST_800207

Новые правила обезличивания персональных данных с 1 сентября 2025 года

С 1 сентября 2025 года в силу вступают важные изменения в законодательстве России о персональных данных, касающиеся обезличивания (анонимизации) персональной информации. Цель - установить чёткие правила обезличивания и дать бизнесу и государству новые возможности для безопасного использования больших данных и технологий искусственного интеллекта.

https://habr.com/ru/articles/931348/

#информационная_безопасность #персональные_данные #152фз #152фз #законодательство

Большой разлив чая: сервис анонимных слухов о мужиках Tea спалил персданные пользовательниц

Оказалось, тысячи присланных для верификации селфи и даже водительских прав хранились онлайн в незашифрованном виде и без пароля.

https://habr.com/ru/articles/931294/

#tea_dating_advice #4chan #python #firebase #безопасность_вебприложений #персональные_данные #утечка_данных

Берём анализы на болезни TLS у Гемотеста

17 июля я сдал анализы крови в компании Гемотест. Спустя полтора дня мне пришёл email с результатами на адрес, который я указал перед сдачей. К счастью, с анализами было всё хорошо: у меня нет ВИЧ, гепатита B, гепатита C, сифилиса, ура! PDF с анализами было заверено приложенной электронной подписью с инструкцией по проверке. Было внутри даже такое: УВЕДОМЛЕНИЕ О КОНФИДЕНЦИАЛЬНОСТИ: Это электронное сообщение и любые документы, приложенные к нему, содержат конфиденциальную информацию. Настоящим уведомляем Вас о том, что если это сообщение не предназначено Вам, использование, копирование, распространение информации, содержащейся в настоящем сообщении, а также осуществление любых действий на основе этой информации, строго запрещено. Если Вы получили это сообщение по ошибке, пожалуйста, сообщите об этом отправителю по электронной почте и удалите это сообщение. А потом ещё и то же самое на английском. Ну кайф. Вроде всё хорошо, можно не волноваться. Но одна вещь всё-таки лишила меня покоя. Замочек. Красный. Перечёркнутый.

https://habr.com/ru/articles/931246/

#tls #гемотест #шифрование #smtp #персональные_данные #медицина #сертификаты #ssl #почтовый_сервер #email

Нужно ли согласие сотрудников на обработку их персональных данных?

Российское законодательство обязывает работодателей соблюдать строгие правила при работе с персональными данными сотрудников. HR-менеджеры, руководители отделов и специалисты по безопасности часто задаются вопросом: нужно ли получать отдельное согласие от сотрудника на обработку его персональных данных в рамках трудовых отношений? Проще говоря, обязаны ли мы при каждой ситуации брать у работника письменное согласие, или закон допускает обработку данных и без него? Рассмотрим это на основе российского Федерального закона № 152-ФЗ «О персональных данных» и разъяснений Роскомнадзора, простым языком.

https://habr.com/ru/articles/930408/

#152фз #152фз #персональные_данные

Кто ответит за утечку: штрафы, сроки и другие обновления закона о персональных данных

710 млн записей с персональными данными россиян утекли в сеть в 2024 году. Роскомнадзор официально зафиксировал 135 таких утечек. Власти отреагировали на рост их числа: оборотные штрафы, усиленные санкции за утечку биометрии и много других новшеств. Рассказываем о рисках, штрафах и даже сроках. А также о действиях, которые помогут этого избежать.

https://habr.com/ru/companies/timeweb/articles/925642/

#timeweb_статьи #информационная_безопасность #персональные_данные #законы #itкомпании #законы_в_it #юридические_вопросы #штрафы #утечка_данных #роскомнадзор

29% взрослых не умеют надёжно уничтожать данные на ПК, ноутбуках и смартфонах

В 2024 году Управление комиссара по информации Великобритании (ICO) привело такие данные : 29% взрослых не знают, как надёжно удалить персональные данные со старых устройств. Согласно опросу, 84% взрослых граждан обязательно удалят личные данные с устройства, прежде чем избавиться от него. Молодёжь меньше беспокоится об этом: 14% людей в возрасте 18−34 лет признались, что не станут стирать информацию с устройства, в то время как среди людей старше 55 лет таких всего 4%. Молодёжь зачастую не заботится об удалении личных данных (21%) и не волнуется о том, как эти данные могут использоваться (23%).

https://habr.com/ru/companies/globalsign/articles/925156/

#умный_дом #умные_устройства #слежка #персональные_данные #чистка_устройства #безопасное_удаление #заводские_настройки #физическое_уничтожение

РКН против использования Google Analytics, но если Вашему бизнесу очень нужно, есть легальный вариант

Бизнес – такая штука, где все нужно считать. Я не только о расходах, выручке и чистой прибыли: это классика. Если у вашей компании есть сайт, то с большой долей вероятности вам искренне любопытно знать, сколько посетителей на него заходит, что их привлекает больше всего, что их совсем не интересует и т.д. И это стремление мне абсолютно понятно: смысл оплачивать содержание площадки, которая никак не помогает вашему делу развиваться? Для фиксации и учета всего, что происходит на сайте компании, используются метрические программы . Многим удобен сервис Google Analytics, но у него есть один большой недостаток – он зарубежный. Узнать,как легально использовать Analytics

https://habr.com/ru/articles/923640/

#гугл_аналитикс #google_analytics #роскомнадзор #ркн #персональные_данные #обработка_персональных_данных #уведомление_ркн #уведомление_роскомнадзор #бизнес #сайт