СТАКАН НАПОЛОВИНУ ПОЛОН
Недавно впервые выступила в роди эксперта по информационной безопасности на опросе ВЦИОМ (анонимно). После интервью поймала себя на мысли, что как обычно говорила больше о плюсах отрасли, чем о минусах. Я знаю, что коллеги часто иронизируют над моим желанием видеть хорошее и перспективу там, где логичнее было бы сказать: "Всё пропало, всё пропало окончательно". Однако же это не настолько наивный подход, как может показаться.

Я за осознанный оптимизм в информационной безопасности. Почему?

Потому что:
✅Специалист должен искать решения, а не заламывать руки. Вся наша работа - борьба. С уязвимостями, угрозами, злоумышленниками, нарушениями и инцидентами. Так есть ли смысл в борьбе, когда не веришь в собственные победы?
✅Экономится время. Пока коллеги размышляют о том, чем плохи новые требования, и как мрачны перспективы, мы работаем. Но надеемся на улучшения.
✅Когда негатива слишком много, срабатывает поговорка: лучше страшный конец, чем страх без конца. Запуганные угрозами пользователи будут саботировать использование цифровых инструментов, особенно новых. Понятно, что идеальная защищённость - это отключенный от сети АРМ в кабинете с решётками за трехметровым забором. Но жизнь должна быть какая-то? Основная деятельность предприятия должна осуществляться? Или ИБ ради ИБ?

Поэтому отставить грусть и осеннюю хандру.👋🍂 Работаем с тем, что есть: в том месте, с тем бюджетом, с теми требованиями, с теми коллегами и в том регионе, где сейчас. Это дано в нашей задаче. Осталось только найти решения.🍀

Коллеги, было ли у вас такое, что выгорел, а обратно собрать себя не получается, отдыха мало, как бы долго он не продолжался?

В октябре исполнилось 16 лет моему трудовому стажу, а если считать с начала учёбы в ВУЗе, то я 20 лет в теме, в ИТ-отрасли аж 22 года, с начала учебы на оператора ЭВМ (мы начинали учиться на УПК в 2003м по старому классификатору на лаборанта-программиста, но через год попали под смену специальности). Я всегда и всем говорила: зачем отдых от работы, когда это часть жизни и ты просто не устаешь? Делай то, что нравится, и ты не проработаешь ни дня в своей жизни. Так и было. Работать с температурой? Работать из роддома, после операции, в отпуске, на даче, на море? В праздники? Одновременно на трех работах? Вести 10 проектов? Легко! Было легко.

Но почему-то в октябре я поймала себя на мысли, что мне вообще не хочется знать, что там за новые требования вышли/выйдут, какие были утечки, успешные кейсы, судебные процессы, полезные ресурсы, новые курсы. За месяц я не взяла никого на консультацию и не прочитала ни одного поста/статьи/журнала/книги на тему. Система дала сбой. Ситуация прямо скажем не типичная.

Размышляю, что же такое случилось, и одинока ли я в своем внезапном выгорании?

Вот что я выделила в качестве негативных факторов:
⛔ лавинообразное увеличение утечек и инцидентов в целом, небывалый рост мошенничества, направленный на малый/средний/крупный бизнес и даже на физ лиц;
⛔ постоянные сообщения о знакомых из ИБ, которые либо ушли из профессии, либо отправились в бессрочный отпуск с целью нормализации здоровья, либо, к огромному сожалению, умерли;
⛔очень быстрый темп изменений требований и рост ответственности. Там где раньше были небольшие штрафы, теперь риски миллионных потерь и уголовной ответственности;
⛔ а самое важное - гиперфиксация общества на информационной безопасности. Раньше это была тема для узкого круга специалистов, "игрушка" для избранных компаний, что-то непонятное обывателю. Наше с вами тайное знание. Теперь об ИБ говорят все и везде: в автобусе, в газете, в чате садоводства, на родительском собрании. Говорят много, ультимативно, но часто поверхностно.

В этом океане информации я (мы?) буквально тону (тонем?). Как нам теперь ориентироваться на местности? Как искать качественные источники и выделять основные тенденции? Где нагнетание и истерия, а где реальные вызовы профессии и задачи, которые нужно решать? Непонятно.

Я думаю, нам предстоит научиться настраивать фильтры. Также как врачи встроились в цифровой мир с целителями/блогерами-самоучками и их многочисленными советами по самолечению. Так и нам предстоит стать рупорами здравомыслия в информационной безопасности, научить пользователя (в широком смысле этого слова) отличать качественные рекомендации от бесполезных и даже опасных. На это нужно время. А пока придётся нырнуть глубоко и изучить хотя бы часть этого нового океана популярной ИБ. 🌊

Коллеги, выше разместила опрос по тенденциям на следующий год. Мое мнение будет в ставшем уже традиционным прогнозе. На этот год можно прочитать здесь: https://www.itsec.ru/articles/personalnye-dannye-chego-zhdat-v-2025-godu

#в_регионах_есть_иб.
РусГидро, Красноярск
Ищут специалиста по ПДн и специалиста по КИИ. Требования по ПДн прикрепляю в комментариях, КИИ аналогичные

Контакт:
+7 924 173 4959
Евгений Максимович

Коллеги, информация "на подумать":
https://www.rbc.ru/society/31/10/2025/69044fb49a7947ae909d21ac?ysclid=mhey9u05vw54293387

Как Вам такая перспектива? Ничего не понятно, но очень интересно!
На мой взгляд, само "согласие" останется по аналогии с информированным согласием для пациента. А вот форма этого согласия изменится и могут появиться типовые варианты по отраслям, а также спецоператоры, которые будут выполнять функции агрегаторов.
Что думаете?

Сегодня мне 38, но не попугаев, а лет. Это был интересный год, менее наполненный работой, больше направленный на восстановление и укрепление здоровья, на нее потраченного. Из основных достижений - регулярные онлайн консультации. Самые разные отрасли, разные города, разные масштабы организаций. От завода до ИП, от школы до больницы, от Москвы до Кемерово. Было сложно и очень интересно! Настолько увлеклась сопровождением, что совсем забыла о черновиках новых книг. В этом году загадаю успешное совмещение жизни, блога, книг и консультаций 🤞

Спасибо, что читаете, спрашиваете, обращаетесь за советом и оставляете отзывы💗 Мы растем вместе! 🙏

Коллеги, вопрос практический. Повышали ли вы квалификацию по теме персональных данных? Понравились/не понравились курсы?

Про себя могу сказать, что курсы повышения проходила дибо узкоотраслевые, когда работала в банке, либо по ТЗКИ. А вот по ЗПДн только сама вела краткосрочные много лет тому назад.

Свежая судебная практика по персональным данным.
Субъект персональных данных обратился к оператору с запросом, так как данные переданные оператору встарели, но в 10-дневный срок ответа не получил. Далее субъект обратился в Роскомнадзор с жалобой на оператора. В ходе проверки регуляторои было выяснено, что оператор не ответил на запрос правомерно, так как тот не содержал серию паспорта. Субъект не согласился с выводами Роскомнадзора и обратился в суд, так как по мнению субъекта номер паспорта был указан, а серия не относится к номеру.
Решение суда осталось неизменным, отказано в возбуждении дела об административном правонарушении.

Что нужно запомнить оператору?
✅Необходимо отвечать субъектам в определённые ФЗ 152 сроки.
✅ Необходимо проверять соответствие запроса субъекта требованиям законодательства. В случае, если запрос не соответствует требованиям, отвечать на него не нужно.
✅Необходимо хранить переписку и другие доказательства реагирования на запросы субъектов персональных данных.

Что необходимо запомнить каждому из нас, как субъекту?
✅Оформлять запросы оператору нужно в соответствии с требованиями законодательства, тщательно проверяя полноту указанной информации.
✅В случае бездействия оператора в ответ на запрос, нужно обратиться к регулятору и предоставить всю необходимую информацию: копии документов, переписку.
✅Если Вы не согласны с выводами регулятора, для отстаивания своих прав можно обратиться в суд.

В комментариях приложу ссылки и документы

Минутка самоиронии. Напомагала своему первокласснику с олимпиадой по информационной безопасности на учи.ру🤣 67 из 80, как так-то?!
А если серьёзно, то идея хорошая, но реализация весьма спорная, на мой взгляд. Из-за упрощения подачи информации мы приходим к неоднозначности вопросов и ответов. Яркие картинки и довольно сложные тексты. А вы знаете примеры хороших курсов/олимпиад/игр по ИБ для школьников?

❗Коллеги, знаю, что, также как я, интересуетесь, как применяются новые наказания по КоАП РФ и УК РФ. Нашла свежую полезную ссылку для вас.

Информация по применению статьи 272.1 УК РФ "Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконных хранения и (или) распространения", введенной в конце прошлого года.

В Перми начальнице отдела судебных приставов предъявили обвинение по статье 272.1 УК РФ (https://properm.ru/news/2025-11-20/nachalnitsu-rayonnyh-pristavov-v-permi-vzyali-za-zapis-video-na-smartfon-5509809?ysclid=mi86s5y8sh289366894).

Обратите внимание, как было осуществлено копирование информации: не напрямую, а путем записи видео с базой данных на смартфон. Это к слову о том, что мы можем запрещать использование съемных носителей и даже отключать от сети Интернет рабочие компьютеры, но есть и вот такие методы незаконного копирования информации.

Коллеги, дополню предыдущий пост. Судебная практика по статье 272.1 УК РФ:
https://sudact.ru/law/uk-rf/osobennaia-chast/razdel-ix/glava-28/statia-272.1/?ysclid=mi8cos7kk2480644871

❗Коллеги, нашла для вас полезную памятку от регионального отделения регулятора. Разбор ошибок при подаче уведомления об обработке персональных данных. Очень подробно расписано, что именно нужно писать в разделе, а что не нужно.

Ошибка 1. Документ оформлен не на бланке организации
Ошибка 2. В поле «Наименование (фамилия, имя, отчество), адрес оператора»
Ошибка 3. В поле «Категории персональных данных»
Ошибка 4. В поле «Категории  субъектов, персональные данные которых обрабатываются».
Ошибка 5. В поле «Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»»
Ошибка 6. Уведомление подписано неуполномоченным лицом
Ошибка 7. Не указан исполнитель, контактная информация исполнителя

https://32.rkn.gov.ru/directions/p39115/p39085/p19001/p13324/

❗Коллеги, из Антифрод пакета исчезли упоминания о реестре согласий!

Помните, что в пакет Антифрод поправок (около 20 по разным направлениям) входил реестр согласий ЕСИА? В конце октября СМИ активно обсуждали перспективы создания реестра. У законопроекта было несколько редакций, последняя была мягче и предполагала, что попадать в реестр будут не все согласия, а только определённые Правительством РФ, для финансового сектора - еще ЦБ РФ. Так вот, в новой редакции про реестр всё исчезло из текста! Имейте в виду. А-то я сейчас работаю над шлифовкой статьи, в очередной раз проверяю достоверность текста и понимаю, что законопроект уже существует в другом варианте, снова нужно текст переделывать 😄

В нашей профессии нужно быть всегда на чеку, всё перепроверяем регулярно и только по первоисточникам.

https://regulation.gov.ru/projects/159652/

Друзья! С днём защиты информации! Счастья! Крепкого здоровья! Успеха в делах!🍀

Сегодня еще и день матери, что символично, ибо мы часто выступаем в роли заботливого родителя для наших дорогих пользователей 😄💗

Хозяйке на заметку. А вы знали, что читать статью 13.11 КоАП надо не только полностью, но и вместе с частью 3.4-2 статьи 4.1 КоАП? Ведь именно там указаны смягчающие обстоятельства. Ссылки на это обстоятельство в ст. 13.11 нет, что часто вызывает споры, когда кто-то приводит в докладе фразу про инвестиции в ИБ в размере 0,1 процента от годовой выручки.

Кажется, что вот эта фраза является каким-то артефактом из старой версии поправок или вообще цитатой из СМИ.
Однако, смягчающие обстоятельства действительно существуют для частей 15 и 18 (касаются повторных нарушения) ст. 13.11 КоАП.

Итак, в организации должны одновременно выполняться следующие условия:
1. Ежегодные расходы оператора в течение 3 календарных лет, предшествующих году, в котором было выявлено административное правонарушение, на мероприятия по ИБ, проведенные лицензиатами (ФСБ России или ФСТЭК России), либо самостоятельно при условии наличия у оператора такой лицензии, составляли не менее 0,1 % годовой выручки.
2. Оператор соблюдал требования к защите персональных данных при их обработке в информационных системах персональных данных при условии документального подтверждения указанного факта, проведенного в течение 12 месяцев, предшествующих моменту выявления административного правонарушения;
3. Обстоятельства, отягчающие административную ответственность, предусмотренные статьей 13.11 КоАП отсутствовали.

Какой вывод мы делаем для себя?
✅ Обозначены минимальные границы бюджета на ИБ относительно выручки.
✅ Нужно делать документы сразу, а не после нарушения.
✅ ИБ выстраивается годами.