Колясников Сергей aka Zerg (zergulio@yandex.ru) (zergulio) wrote,
Колясников Сергей aka Zerg (zergulio@yandex.ru)
zergulio

Categories:

Обращение в Генпрокуратуру по поводу персональных данных 14'000'000 россиян в свободном доступе



Ну что. Очередная радость, особенно для мошенников, которым СНИЛСы людей нужны. Федеральная служба по надзору в сфере образования и науки раздает персональные данные. А именно, с их сайта спокойно скачали:

- Таблицу с дипломами об образовании (серия, номер, год поступления, год окончания, СНИЛС!, ИНН!!, дата рождения, национальность (зачем?), учебная организация, выдавшая документ), таблицу с гражданами с образованием (там всё проще: ФИО и всё), таблицу с пользователями системы (стандартно, логин, email, и, НЕОЖИДАНО, md5 хэш пароля, хоть не сам пароль), отдельная таблица admin с одной записью (так же: логин, хэш пароля и прочее), таблица с информацией об учебных заведениях (кто начальник, email, телефон, лицензия — в общем всё, что и так есть в открытом доступе) и ещё кучу вспомогательных таблиц.

- По объёмам получилось: около 14 000 000 документов об образовании, около 14 000 000 записей с данными о бывших студентах, 1322 пользователя системы, 1 админ, который логинится по будням в системе, видимо, когда на работу приходит, 3391 учебное заведение и горы непонятной информации типа ОКОГУ и прочее. База весом 5 гб.


Источник: https://habrahabr.ru/post/347760/

Все это УЖЕ в свободном доступе. Получается, и мои данные тоже. СНИЛСы очень нужны мошенникам из левых пенсионных фондов, чтобы ловко переводить туда пенсионные накопления граждан с далеко идущими целями. Эти номера мошенники пытаются выведать обходами по домам, на вокзалах, а тут на ка, 14 млн. в открытом доступе и с ФИО.

Для понимания:

В России действует ФЗ «О защите персональных данных», целью которого является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных. Техническая сторона вопроса регулируется приказом № 21 ФСТЭК от 18.02.2013 г. ««Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

Согласно данному приказу, должно быть обеспечено:
- проведение мер по контролю (анализу) защищенности персональных данных, путем проведения систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности системы защиты персональных данных;
- реализация мер по запрету неавторизованного доступа пользователей к персональным данным, содержащимся в информационной системе.

В случае соответствия информационной системы требования 21 приказа ФСТЭК, соответствующая лицензированная организация выдает аттестат соответствия данной информационной системы.

В итоге, персональные данные 14 млн студентов (включая и несовершеннолетних), утекли в сеть, требования приказа ФСТЭК не выполнены, доступ к данным получен неуполномоченным лицом, требования по защищенности не выполнены.

Поэтому вопрос: КТО и как аттестовывал данный объект, кто понесет за это ответственность? Собственно, понятно кто аттестовывал, приближенные, за немалое бабло.

А посему:

На интернет сайте Хабрахабр опубликована статья с заголовком «И так сойдет...», из текста которой следует, что персональные данные 14 миллионов россиян оказались в руках постороннего человека, в результате несанцкионированного доступа к ним через сайт Федеральной службы по надзору в сфере образования и науки.

Статья размещена по адресу: https://habrahabr.ru/post/347760/

Согласно действующему законодательству, а именно 152-ФЗ, а также 21 и 17 приказам ФСТЭК России, персональные данные россиян подлежат особой защите, и информационные системы с персональными данными такого объема должны быть в обязательном порядке защищены и аттестованы.

Аттестацию таких систем проводят организации, аккредитованные ФСТЭК России на проведение таких действий и гарантируют соответствие объекта информатизации требованиям по защите информации от несанкционированного доступа.

Вместе с тем, как показала практика, в данном конкретном случае, требования по защите информации от несанкционированного доступа не были выполнены.

В этой связи, прошу организовать проверку, в ходе которой не только поручить ФСТЭК России установить причины и условия, приведшие к утечке персональных данных россиян, но и привлечь к установленной законом ответственности лиц, по вине которых она произошла: как непосредственного оператора обработки персональных данных так и орган аттестации.


Отправил сюда: http://ipriem.genproc.gov.ru/contacts/ipriem/

Прошу распространить:
Tags: Генеральная прокуратура
Subscribe

Recent Posts from This Journal

promo zergulio март 5, 2014 18:52 123
Buy for 2 000 tokens
Изначально данный блог был личной попыткой противостояния в информационной войне против США и Европы. Но со временем мы все больше помогаем простым людям, при этом блог временами выходит на 3-4 место в России по цитируемости (примечательно, что у Ведомостей там 31 000 ссылок за месяц, у Форбс 20…
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your IP address will be recorded 

  • 61 comments

Recent Posts from This Journal