#ВопросМесяца

В SaaS-моделях тема персональных данных чаще всего упирается не в общие нормы, а в конкретную договорную и процессную механику:

➡️как оформлено поручение,
➡️что делать с субобработчиками,
➡️какие меры нужно подтверждать
➡️и где на практике проходит граница ответственности.

В этот раз выносим на голосование вопросы, которые особенно часто возникают у Head of Legal, sales и pre-sale при работе с заказчиками.

P.S. Если такие вопросы у вас уже не для голосования, а для сделки, тендера или согласования с крупным клиентом, приходите в Б-152. Разберем вашу SaaS-модель обработки ПДн, договорную схему и зоны ответственности так, чтобы это можно было показать заказчику без лишней акробатики 😊

😎

📄 Как вы определяете срок обработки ПДн в HR:

по привычке
или по цели?

В HR срок обработки ПДн нельзя определять “на глаз”, пока удобно или на всякий случай.
Юридическая точка отсчета здесь — конкретная цель обработки в рамках конкретного HR-процесса.

Именно цель позволяет понять:

🔵когда начинается обработка;
🔵когда цель считается достигнутой;
🔵что делать с ПДн дальше: уничтожать, переводить в архивное хранение или продолжать обработку уже на ином самостоятельном правовом основании.

ПРОВЕРЬТЕ СЕБЯ ПО СХЕМЕ

1️⃣ Можете ли вы по каждому HR-процессу назвать конкретную цель обработки ПДн?

Например: подбор кандидата на вакантную должность.

Если цели нет или она слишком общая, срок обработки определить корректно не получится.

2️⃣ Понимаете ли вы, с какого момента начинается обработка?

Например, в подборе — с получения резюме через сайт, электронную почту, hh.ru, кадровое агентство или иной источниксбора персональных данных.

3️⃣ Зафиксировано ли у вас событие, после которого цель считается достигнутой?

Например: решение о приеме кандидата либо об отказе в трудоустройстве.

4️⃣ Понятно ли, что происходит с ПДн после достижения цели?

Именно здесь чаще всего и возникает ошибка: данные продолжают храниться без должной правовой оценки.

По ст. 5 Федерального закона № 152-ФЗ ориентир здесь всегда один:

Обработка должна быть ограничена достижением конкретных, заранее определенных и законных целей, а срок обработки не дольше, чем этого требуют цели обработки, если иной срок не установлен федеральным законом, договором или соглашением с субъектом.

Например, в процессе подбора данные кандидата нужны до принятия решения о приеме или отказе. После этого цель подбора прекращается: данные должны быть либо переведены в иной процесс на самостоятельном правовом основании, либо уничтожены.

Если цель достигнута, применяется ч. 4 ст. 21 152-ФЗ: оператор обязан прекратить обработку ПДн или обеспечить ее прекращение у обработчика и уничтожить ПДн либо обеспечить их уничтожение у обработчика в срок, не превышающий 30 дней с даты достижения цели обработки, если отсутствует предусмотренное законом, договором или соглашением основание для дальнейшей обработки.

Если обработка основана на согласии и субъект его отозвал, то применяется положения ч. 5 ст. 21 152-ФЗ: оператор обязан прекратить обработку или обеспечить ее прекращение у обработчика и, если сохранение ПДн более не требуется для целей обработки, уничтожить данные в срок, не превышающий 30 дней с даты поступления отзыва, если отсутствует основание продолжать обработку без согласия.

Быстрый практический вопрос для самопроверки:

Можете ли вы по каждому HR-процессу быстро ответить на 6 пунктов: источник сбора, цель, правовое основание, момент начала обработки, событие достижения цели и дальнейшее действие с ПДн?

Если на этом этапе ответы приходится собирать вручную из разных документов и таблиц, значит процесс уже требует систематизации.

Именно для таких задач мы используем Privacy Box: он помогает разложить обработку ПДн по процессам, зафиксировать цели, основания, сроки и дальнейшие действия с данными в одной рабочей модели 👍

😎

💙 VK | 💬 ТГ | 💬 МAX | 📝 Дзен

⚡️ И вновь мы запускаем рубрику #РазборВашейСитуации

Если у вас есть рабочий кейс по персональным данным, информационной безопасности или digital compliance, в котором все упирается в нюанс, присылайте его нам через постоянную Яндекс.Форму 👉

Это может быть вопрос про согласие, сроки хранения, подрядчиков, трансграничную передачу, кадровые процессы, документы, доступы или спорную ситуацию, где на практике все выглядит не так однозначно, как в законе.

Мы будем выбирать кейсы для публичного разбора аккуратно, предметно и анонимно: без названий компаний, имен и лишних деталей.

Иногда один такой разбор помогает увидеть слабое место в процессе раньше, чем это сделают проверка, инцидент или спор.

Если у вас есть ситуация, которую лучше проверить сейчас, чем объяснять потом, отправляйте ее нам через форму. Возможно, именно ваш кейс мы возьмем в следующий разбор🔥

А если нужна не публичная публикация, а точечный разбор именно под вашу задачу, мы можем помочь отдельно в формате консультации, аудита или практического сопровождения.

😎

💙 VK | 💬 ТГ | 💬 МAX | 📝 Дзен

#РазборКейса

Админки раздали, а отозвать забыли...

КАК ЭТО ПРЕВРАЩАЕТСЯ В ИНЦИДЕНТ 🚨

Такие истории почти всегда начинаются более менее спокойно: сотруднику выдали расширенные права на время, подрядчику открыли доступ к админке для настройки, разработчику дали роль администратора, чтобы быстрее исправить проблему.

Работу сделали, а доступ остался. Через месяц уже никто не помнит, зачем он был нужен.

Проблема не в самой выдаче админских прав, а в том, что у компании нет управляемого жизненного цикла доступа:

⏩кто запросил
⏩кто согласовал
⏩на какой срок выдали
⏩что именно разрешили
⏩кто проверил отзыв прав

В итоге временный доступ становится постоянным, а исключение — нормой.

Лишние права могут сработать после увольнения сотрудника, при компрометации пароля, конфликте с подрядчиком или просто при ошибке. Чем шире права, тем меньше действий нужно для ущерба: выгрузить базу, изменить настройки, отключить логирование, удалить записи, создать новую учетную запись, открыть доступ наружу.

Отдельный риск — общие админские учетные записи. Когда несколько человек работают под одним логином, расследование почти сразу упирается в пустоту. В журнале видно только admin. Кто именно, с какого рабочего места, по какой заявке и с каким основанием — уже вопрос к процессу, а не к средствам защиты. Если ответов нет, компания теряет управляемость в первые часы разбора.

💬 Правильное закрытие начинается не с покупки новой системы, а с инвентаризации привилегированных доступов.

Нужно отдельно поднять администраторов домена, админов бизнес-систем, владельцев облачных кабинетов, доступы подрядчиков, сервисные учетные записи, роли в CRM, HRM, DLP, MDM, Git, BI и хранилищах данных. Именно здесь обычно всплывают бывшие сотрудники, старые подрядчики, тестовые пользователи и «временные» роли двухлетней давности.

Дальше доступы нужно привести к понятной модели. У каждого привилегированного доступа должны быть владелец, основание, срок действия, зона ответственности и журнал действий. Постоянные админские права стоит оставлять только тем, кому они действительно нужны. Все остальное через временное повышение прав, заявку, согласование и автоматический отзыв.

Для подрядчиков правило еще жестче: доступ выдается под конкретную задачу, на ограниченный срок, с MFA и журналированием действий. После завершения работ отзыв доступа должен быть таким же обязательным шагом, как подписание акта. Иначе договор закончился, а техническая возможность влиять на систему осталась.

Быстрая проверка процесса: можно ли за 15 минут ответить, кто имеет административные права в критичных системах, почему они выданы и когда последний раз пересматривались. Если нельзя, то это открытый контур риска.

📎 По требованиям 152-ФЗ и подзаконных актов оператор должен принимать меры по предотвращению несанкционированного доступа к персональным данным.

В технической плоскости это упирается в управление доступом, разграничение прав, учет действий пользователей и контроль администраторов. Без этого документы по ИБ живут отдельно, а реальная безопасность отдельно.

Вывод следующий: лишние админские права редко выглядят как инцидент до момента, пока ими не воспользуются. Но после этого вопрос будет уже не в том, почему доступ когда-то выдали, а в том, почему его не отозвали, не контролировали и не видели в перечне критических рисков.

Если у вас похожая ситуация и нужно быстро привести привилегированные доступы в управляемый вид, мы можем помочь с аудитом, инвентаризацией и настройкой рабочего процесса выдачи и отзыва прав 👍

😎

💙 VK | 💬 ТГ | 💬 МAX | 📝 Дзен

🔎 СВЕЖИЕ ВАКАНСИИ

Пока шла рабочая неделя, на рынке появилось несколько новых ролей в нашей сфере. Как обычно, делимся подборкой:

🔃 Специалист по работе с персональными данными в ООО ГПМ Партнер
🔃 Специалист по работе с персональными данными в Федерация хоккея России
🔃 Юрист/специалист по персональным данным в Планета Железяка, компания
🔃 DPO/Специалист по защите персональных данных в крупную строительную компанию
🔃 Руководитель направления по защите персональных данных (DPO) в крупную строительную компанию
🔃 Юрисконсульт в Яндекс
🔃 Аналитик по работе с Персональными данными в Мария-Ра
🔃 Юрист (персональные данные) в ООО ГБС-Брокер
🔃 Начальник отдела организации и обеспечения обработки персональных данных в АО Россельхозбанк, Руководителям
🔃 Специалист по работе с персональными данными (DPO) в Группа Компаний Мечел
🔃 DPO/Специалист по защите персональных данных в ВСК, САО
🔃 Специалист по защите информации (ПДн) в ООО Сервер Молл
🔃 Руководитель проектов по автоматизации процессов обработки ПДН в ООО РСХБ-Интех

Впереди теплые длинные выходные! И мы желаем, чтобы они прошли лучше, чем вы ожидаете 😎

😎

⚡️ ОБЗОР НОВОСТЕЙ НЕДЕЛИ

Неделя снова была про ужесточение правил и удешевление атак.

Государство готовит новые меры против телефонных мошенников, упрощает подход к обезличиванию данных и продолжает настраивать регулирование ИИ. Параллельно растет давление со стороны практики: все больше дел, исков, блокировок и санкций показывают, что тема персональных данных и ИБ окончательно вышла из уровня формальных требований.

С другой стороны атаки стали проще и доступнее. Фишинг продают как готовый сервис, дипфейки и серые сайты все активнее используют для кражи денег и данных, а уязвимости в популярных системах по-прежнему дают злоумышленникам слишком много возможностей.

Главный вывод недели тот же: риски масштабируются быстрее, чем успевают адаптироваться процессы внутри компаний.

ЗАКОНОДАТЕЛЬСТВО
– Председатель Госдумы пообещал новые законы против телефонных мошенников
– Правительство убрало спорное требование из проекта закона об использовании искусственного интеллекта
– Минцифры подготовило проект постановления об упрощении процедуры обезличивания ПД

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
– Уже три четверти кибератак приходится на объекты критической инфраструктуры
– В даркнете начали продавать конструктор фишинга под ключ
– Обнаружен сайт для серьёзной проверки ИБ-грамотности
– В России начнет работу подкомиссия по борьбе с киберпреступлениями
– Скидки, ИИ-сервисы и легкий заработок: Касперский предупредил о серых сайтах, которые воруют деньги без классического фишинга

МОШЕННИКИ
– Мошенники выманивают у детей данные их соцсетей и пишут родителям
– В МВД рассказали о новой схеме мошенничества с данными из фитнес-клубов

РКН
– С начала года РКН подал не менее семи исков к крупнейшим игровым разработчикам
– Роскомнадзор в апреле заблокировал почти 8 тыс. фишинговых ресурсов
– РКН отразил более 1200 атак на системы госуправления и операторов

ПЕРСОНАЛЬНЫЕ ДАННЫЕ
– Суд подтвердил арест журналиста Ролдугина по делу о персональных данных
– Суд в Москве дал 13 лет за взятки сотрудникам ФТС за доступ к базе данных
– В Вяземском районе полицейские пресекли махинацию с использованием персональных данных коллеги

ИИ
– ИИ дали банковскую карту и доступ в интернет. Эксперимент быстро пошел не по плану
– Дипфейки в кибератаках 2026: как мошенники используют ИИ и как защититься

СТАТЬИ
– 92% эффективности, 831 Тбит/с и миллиарды на сигнатуры. Как Роскомнадзор готовит новый рывок против VPN к 2030 году
– Как внедрить процесс обезличивания в пайплайн CI/CD: разбираемся на практике
– Обезличивание персональных данных: где проходит граница между законом и аналитикой
– Сначала ping, потом PowerShell, потом обфусцированный скрипт без записи на диск. Хроника атаки на Weaver E-cology в трёх актах
– Root без спроса. В файрволах Palo Alto обнаружили уязвимость, о которой мечтает каждый хакер
– Пароли больше не требуются. В популярной CMS нашли лазейку для захвата сайтов пачками
– Смартфон чист, а деньги ушли. Хакеры научились выуживать OTP-коды, не взламывая ваш мобильный

НОВОСТИ
– Реестр скомпрометированных персональных данных появится в Казахстане
– «Дочку» «Яндекса» оштрафовали в Финляндии на €100 млн
– США опубликовали контртеррористическую стратегию и прописали в ней возможность наступательных киберопераций
– Соблюдение требований регулятора ЕС к поисковикам ведёт к деанонимизации пользователей – Google
– Международная ассоциация фридайвинга и агентство для дайверов оштрафованы за отказ локализовать данные россиян

Желаем продуктивной сокращенной недели 💙

😎

ЧТО ТАКОЕ ПРОФИЛАКТИЧЕСКИЙ ВИЗИТ

Какие они бывают и на каких основаниях?

Профилактический визит часто воспринимают как мягкий формат контакта с регулятором. Но РКН в его рамках смотрит не только на документы, а на реальное состояние процессов и практики обработки персональных данных.

Профилактический визит – это мероприятие, основная цель которого предотвратить риск нарушения обязательных требований и потенциального ущерба. Иными словами, проверка без негативных последствий (иногда).

Такие профилактические визиты бывают двух видов: добровольный (по инициативе оператора) и обязательный (по инициативе контролирующего органа).
От обязательного профилактического визита отказаться нельзя – возможна ответственность по ст. 19.7 КоАП РФ. Кроме того, уклонение от профилактического визита является основанием для проведения внеплановой проверки.

Основания для обязательного профилактического визита:

— отнесение оператора к категории высокого риска в соответствии с критериями из Постановления правительства РФ № 1046. К ней, в первую очередь, могут быть отнесены операторы, которые привлекались к административной ответственности или получали предписания об устранении нарушений по чч. 1.1, 2.1, 5.1, 8, 9, 12–18 ст. 13.11 и ст. 13.11.3 КоАП РФ;

— поручение Президента РФ, председателя Правительства РФ или его заместителя, высшего должного лица субъекта РФ.

Профилактический визит проводится в форме профилактической беседы по месту осуществления деятельности оператора либо удаленно по видео-конференц-связи или через мобильное приложение «Инспектор» и не может превышать 10 рабочих дней.

Как проходит визит и как подготовиться?

РКН уведомляет о проведении профилактического визита не менее чем за 24 часа до его начала.
Список компаний, которых ждет профилактический визит в 2026 г., а также даты его проведения, опубликованы в Приказе РКН № 390.
В рамках визита инспекторы могут запросить документы, проводить осмотр, в том числе дистанционный, инструментальное обследование и другие действия. Цель — оценка уровня соблюдения оператором обязательных требований.

ПЕРЕД ВИЗИТОМ ОПЕРАТОР МОЖЕТ:

🔃 Воспользоваться проверочным листом РКН для самооценки соблюдения обязательных требований;

🔃 Подготовить документы: типовые формы согласий, политику в отношении обработки персональных данных, локальные акты по обработке персональных данных, приказ о назначении DPO, подтверждение уничтожения персональных данных, локализации баз данных с персональными данными и пр.;

🔃 Иметь под рукой реестр процессов обработки персональных данных.

Во время визита инспектор может указать на нарушения обязательных требований, которые лучше устранить до его окончания, чтобы избежать возможной проверки в будущем.

Какие последствия?

Профилактический визит заканчивается тем, что инспектор РКН составляет акт о проведении визита. Он не предполагает привлечение к юридической ответственности и наложение штрафа по умолчанию, однако:

— если инспектор выявил нарушения обязательных требований, и они не были устранены до окончания визита, оператору выдается предписание. Если оно не исполнено и это не подтверждено документами / сведениями, РКН вправе инициировать проверку и провести контрольное (надзорное) мероприятие;

— если инспектор установил потенциальную угрозу причинения вреда или факт причинения вреда, он направляет информацию в территориальный орган РКН для принятия решения о проведении контрольного (надзорного) мероприятия.

Профилактический визит не стоит недооценивать только потому, что он не начинается со штрафа. Для оператора это точка, где быстро становится видно, насколько процессы, документы и фактическая практика действительно собраны в рабочую систему.

Если хотите заранее понять, насколько ваша модель готова к такому визиту, мы можем помочь провести предварительный аудит, проверить документы и собрать процесс в более устойчивый и управляемый вид.

😎

💙 VK | 💬 ТГ | 💬 МAX | 📝 Дзен

СЕГОДНЯ НАМ 15 ЛЕТ! 🎉🎉🎉

В 15 лет Паскаль написал трактат о конических сечениях, Брайль придумал шрифт для слепых, Фишер стал гроссмейстером, а Моцарт написал первую оперу.

Мы в свои 15 — защищаем персональные данные, провели более 1.5 тысяч проектов и нисколько не разочарованы. У каждого свой путь 😉

За 15 лет из 100 компаний выживают 15. Мы же выросли от маленького стартапа до одного из лидеров рынка.

К нам прислушиваются регуляторы. Нас уважают конкуренты. Нам доверяют клиенты.

Но главное за эти 15 лет — люди 🩵
Те, кто когда-то поверил в Б-152, и верит сейчас.
Те, кто каждый день выбирает разобраться с проблемой по-настоящему, а не формально.
Те, кто не боится посмотреть на свои риски и делает шаги вперед.
Те, кто вместе с нами эти 15 лет, и те, кто этот путь еще только начинают.
Те, кто справедливо указывают на наши ошибки, и те, кто предлагают решения.

И если все эти годы вы были с нами и выбирали нас снова и снова, значит, все было не зря!

Спасибо каждому, кто рядом — клиенту, коллеге, партнеру, подписчику. Спасибо вам 💟

😎

Вчера на вебинаре мы говорили про биометрию и узнали, что Face ID вроде как биометрия, но не попадает под биометрию законодательную 🤔

А вот и записи вебинара:

⚫️на Rutube
⚫️на VK

Про биометрию на семинаре и лекции по чувствительной обработке данных подробно рассказывает Никита Володин — руководитель практики Privacy в Б-152, включенный в рейтинг Коммерсант.

Записаться на курс Privacy Professional со скидкой до 21% по промокоду ШАНС до 19 мая (в цены на сайте учтена скидка по промокоду)

ЗАПИСАТЬСЯ>>>

😎

ЧТО У ВАС ТОЧНО ПОД КОНТРОЛЕМ?

Доступы, подрядчики, облака или документы❔

Во многих компаниях информационная безопасность выглядит собранной ровно до того момента, пока ее не начинают проверять по конкретным вопросам.

Документы есть, но они описывают не текущую практику, а версию компании для проверки.
Доступы вроде выдаются по заявкам, но никто быстро не покажет, у кого сейчас есть права администратора и зачем.
Подрядчики проходят через договор, но после старта работ их доступы живут отдельно от контроля.
Облачные сервисы используются каждый день, но часть из них появилась без ИТ, ИБ и нормального понимания, какие данные туда попадают.

Проблема обычно не в полном отсутствии контроля. Чаще он есть фрагментами: один участок хорошо настроен, второй держится на таблице, третий — на памяти конкретного сотрудника, а четвертый всплывает только при инциденте, увольнении, аудите или запросе от руководства.

Быстрый способ проверить реальное состояние — это честно ответить себе на пять вопросов⤵️

1️⃣ Доступы

Можно ли за 15 минут понять, у кого есть доступ к ключевым системам, с какими правами и по какой причине?

Если да — у компании есть не только учетные записи, но и управляемая картина доступа. Если начинается поиск по чатам, старым заявкам и письмам, контроль пока ручной.

2️⃣ Увольнения и смена ролей

Есть ли понятный порядок отключения или пересмотра прав, когда сотрудник увольняется, меняет должность или переходит в другой проект?

Слабое место часто не в первичной выдаче доступа, а в его дальнейшей жизни. Права выдали под одну задачу, задача закончилась, человек сменил роль, а доступ остался.

3️⃣ Подрядчики

По каждому подрядчику понятно, к каким системам и данным он подключен, кто это согласовал, на какой срок и где это зафиксировано?

Договор и NDA сами по себе не дают контроля. Управление появляется только тогда, когда внешний исполнитель привязан к конкретным системам, срокам, правам, ответственным и правилам отключения.

4️⃣ Облака и SaaS

Все облачные сервисы, где могут быть рабочие данные, известны ИТ или ИБ?

На практике часть рисков уходит не в большое облако, а в маленькие удобные сервисы: таблицы, таск-трекеры, хранилища файлов, конструкторы форм, AI-инструменты, сервисы рассылок. Их быстро заводят для работы, но редко сразу включают в общий контур контроля.

5️⃣ Документы

Ваши документы по ИБ и персональным данным описывают реальный порядок работы?

Если в регламенте написано одно, в таблицах ведется другое, а на практике сотрудники делают третье, документ не управляет процессом. Он просто лежит до проверки. Рабочий документ должен помогать быстро ответить: кто отвечает, что делает, где фиксируется решение и чем подтверждается выполнение.

На все вопросы ответили? Теперь о том, как читать результат:

4–5 “да” — базовый управленческий контур уже есть. Его можно развивать, автоматизировать и проверять.

2–3 “да” — система частично собрана, но слабые места уже видны. Обычно это подрядчики, облака или пересмотр доступов.

0–1 “да” — контроль пока держится не на процессе, а на людях и привычках. При инциденте или проверке это быстро станет проблемой.

Вопрос для самопроверки:

какой участок вы можете не просто назвать закрытым, а быстро показать, объяснить и подтвердить?

Напишите в комментариях, сколько у вас получилось “да”: 0–1 / 2–3 / 4–5?

По самым проблемным зонам можем отдельно помочь с аудитом процесса и привести контроль в рабочий, подтверждаемый вид 👍

😎

АЛЕКСАНДР САВЕЛЬЕВ О 152-ФЗ. Вживую, не в пересказе 📚

Есть такие книги, которые действительно объясняют что имел в виду законодатель, регулятор и почему одна фраза в 152-ФЗ потом превращается в отдельный пласт практики.

Иногда закон можно трактовать очень по-разному, т.к. практика слишком неоднородна. Поэтому особенно ценно, когда эксперты помогают разобраться и переводят сложные законодательные инициативы на понятный человеческий язык.

28 мая компания Б-152 проводит офлайн-встречу с Александром Савельевым, автором научно-практического постатейного комментария к Федеральному закону «О персональных данных».

Повод, ради которого стоит выйти из режима созвонов: вышло 3-е издание комментария, март 2026 года🔥

Когда: 28 мая, 18:15–23:00
Где: Москва, пространство Frame, Болотная наб., 3, стр. 4
Участие: бесплатное, по регистрации и после подтверждения. Количество мест ограничено площадкой.

🔗 Регистрация

Александр Савельев, доцент факультета права НИУ ВШЭ, автор практических книг по цифровому праву, многолетний участник Консультативного совета при Роскомнадзоре.

О чем будем говорить:

➡️ как за последние годы изменился 152-ФЗ и подходы к его применению;
➡️ что стало особенно чувствительным для операторов персональных данных;
➡️ почему проверка документов уже не спасает, если процессы живут отдельно;
➡️ как читать новые требования без паники, но и без самоуспокоения;
➡️ какие выводы можно сделать из практики, которую автор разобрал при подготовке нового издания.

На встрече будет возможность поговорить с автором, задать вопросы, обсудить правоприменения, подписание книг и нормальное живое общение с коллегами, которые каждый день разбираются с согласиями, поручениями, трансграничной передачей, уведомлениями, сайтами, подрядчиками и прочими радостями оператора ПДн.

Мероприятие модерирует Максим Лагутин, генеральный директор Б-152. Он будет задавать вопросы Александру Савельеву и помогать переводить разговор из теории в практику.

🔗 РЕГИСТРАЦИЯ

Приходите, если работаете с персональными данными по-настоящему: в legal, ИБ, compliance, privacy или управлении процессами 🔥

😎

ВАМ НУЖЕН ПЕНТЕСТ НЕ ПОТОМ, А СЕЙЧАС 🤒

Пентест часто откладывают до более подходящего момента: после релиза, после миграции, после найма ИБ-специалиста, после закрытия срочных задач. Проблема в том, что атакующий не ждет стабилизации процессов. Он работает с тем, что уже выведено наружу, забыто, неправильно настроено или временно оставлено.

🤒 Первый тревожный признак — публичные сервисы растут быстрее, чем их учет

У компании появляются новые домены, тестовые стенды, VPN-шлюзы, панели администрирования, API, личные кабинеты, интеграции с подрядчиками. Внутри это выглядит как нормальное развитие продукта.

С точки зрения риска — это расширение внешнего периметра, который никто целиком не видит. Если нет актуального перечня публичных активов, уже нужен не формальный пентест, а для восстановления контроля.

🤒 Второй признак — изменения в инфраструктуре проходят без проверки безопасности

Переехали в облако, открыли новый доступ для подрядчика, подняли временный сервер, добавили интеграцию, изменили сетевые правила. Все работает, бизнес доволен и инцидентов не было. Но отсутствие инцидентов не равно отсутствию уязвимостей.

Самые дорогие проблемы часто появляются именно после т.н. быстрых изменений: лишние открытые порты, слабые настройки IAM, доступ к хранилищам, тестовые учетные записи, API без достаточной авторизации.

🤒 Третий признак — команда уверена, что у них все закрыто, но это ничем не подтверждено

Есть антивирус, межсетевой экран, VPN, мониторинг, WAF, но нет внешней проверки, нет отчета по эксплуатации уязвимостей и нет понимания, какие цепочки атаки реально проходят до критичных данных.

Пентест как раз показывает разрыв между схемой защиты на бумаге и фактической возможностью добраться до системы, данных или административного доступа.

🤒 Четвертый признак — растет количество подрядчиков и сервисных доступов

Разработчики, интеграторы, облачные провайдеры, техническая поддержка, внешние администраторы — каждый новый доступ добавляет еще один маршрут внутрь. Особенно опасны старые VPN-учетки, общие логины, доступы без MFA, сервисные аккаунты с избыточными правами, администраторские учетные записи без ограничения по IP.

Если такие доступы не пересматриваются регулярно, компания не управляет периметром, а надеется, что никто не воспользуется оставленным входом.

🤒 Пятый признак — скоро аудит, сделка, тендер или проверка крупного заказчика

В такие моменты пентест становится доказательством зрелости. Заказчик смотрит, проверяли ли внешний контур, как закрывали замечания, есть ли процесс устранения уязвимостей, кто отвечает за повторную проверку.

Если пентест запускается за неделю до дедлайна, времени обычно хватает только на отчет, а не на исправление причин.

🚨 Отдельный красный флаг — если публичная система обрабатывает персональные данные, платежные сведения, медицинскую информацию, коммерческую тайну или доступна клиентам 24/7.

Здесь цена ошибки выше: утечка, простой, компрометация учетных записей, претензии клиентов, вопросы регулятора, потеря доверия со стороны партнеров. Оставлять проверку такой системы на потом — значит принимать риск без реальной оценки.

Пентест не должен быть разовой историей перед аудитом. Его место — после существенных изменений, перед запуском критичных сервисов, после миграции, при росте внешнего периметра и при появлении новых каналов доступа.

Минимальный здравый подход:

инвентаризация внешних активов ⏩ проверка наиболее критичных точек ⏩ фиксация уязвимостей по приоритету ⏩ устранение ⏩ ретест.

Если компания не может точно сказать, что у нее опубликовано в интернете, кто имеет удаленный доступ и какие уязвимости реально можно использовать, грань риска уже пройдена. В такой ситуации пентест — это способ понять, где именно контур уже открыт.

Если же у вас накопились изменения в инфраструктуре, вырос внешний периметр или впереди аудит, мы можем помочь провести проверку, расставить приоритеты и собрать понятный план закрытия уязвимостей.

😎

Пользуетесь же нейронками?

Да и по работе, скорее всего, тоже пробовали использовать популярные LLM

👉 Много наших клиентов и коллег столкнулись и продолжают сталкиваться с большим количеством вопросов и проблем, связанных с передачей ПДн в зарубежные сервисы (ChatGPT, Claude, DeepSeek и др), правовыми основаниями для обработки ПДн для обучения внутренней нейронки и, конечно, с проблемами безопасности.

Уже во вторник, 19 мая, в 12:00 по МСК мы проведем вебинар "ПД и ИИ: танго танцуют двое", где Максим Лагутин, ведущий эксперт по защите ПД Б-152, расскажет:

• как ожидаемое регулирование ИИ повлияет на обработку ПД в них
• что такое жизненный цикл ПД в ИИ
• правовые и технические вызовы обработки ПД в агентах и ИИ и способы их минимизации
• теневое применение ИИ в компаниях

Для участия необходимо зарегистрироваться. Ждем вас, будет интересно и, как всегда, практично!

Зарегистрироваться >>>

😎

Что делать, если ПОДРЯДЧИК НЕ ХОЧЕТ ПОДПИСЫВАТЬ ПОРУЧЕНИЕ? ✖️

Компании-операторы почти всегда работают с подрядчиками. Но такие третьи лица могут быть либо обработчиками, либо самостоятельными операторами.

Разграничение зависит не от названия стороны в договоре и не от технической роли исполнителя, а от того, кто определяет цель обработки, объем и категории ПДн, допустимые операции, срок хранения, порядок удаления, условия доступа и общие правила использования данных.

Если подрядчик действует в рамках ваших целей обработки ПДн, с ним необходимо заключить поручение на обработку ПДн — ч. 3 ст. 6 152-ФЗ.

Требований к форме нет: поручение может быть разделом договора или приложением к нему.

Что должно содержаться в поручении?

➡️перечень ПДн;
➡️перечень действий с ПДн;
➡️цели обработки;
➡️обязанность соблюдать конфиденциальность и безопасность данных при их обработке;
➡️требования к защите обрабатываемых данных в соответствии со ст. 19 Закона 152-ФЗ;
➡️обязанность по запросу оператора представлять документы и иную информацию, подтверждающие принятие необходимых мер и соблюдение требований закона, а также обязанность уведомлять оператора об инцидентах с утечкой данных.

На практике также целесообразно закреплять условия возможности или запрета привлечения субподрядчиков (субобработчиков), сроки и порядок возврата либо уничтожения данных, порядок реагирования на запросы субъектов и регулятора.

ЧЕМ ГРОЗИТ ОТСУТСТВИЕ ПОРУЧЕНИЯ?

Негативные последствия для подрядчика:

Во-первых, обработчик, действующий по поручению, не обязан получать согласие субъекта на обработку ПДн (ч. 4 ст. 6 152-ФЗ), поскольку правовое основание обработки обеспечивает оператор. При отсутствии поручения подрядчику придется самостоятельно обосновывать наличие такого основания.

Во-вторых, при наличии поручения оператор отвечает перед субъектом ПДн за действия подрядчика-обработчика, а подрядчик — перед оператором. Отсутствие поручения приводит к возложению административных штрафов на подрядчика, если нарушение произошло на его стороне. С учетом роста штрафов с мая 2025 года это уже существенный риск.

Негативные последствия для оператора:

Отсутствие поручения означает потерю контроля за действиями подрядчика: какие технические и организационные меры безопасности он применяет, будут ли ПДн уничтожены после достижения цели обработки, какие действия с ПДн он вправе совершать и будет ли привлекать иных лиц.

Четко установленные условия поручения не позволяют подрядчику использовать ПДн в своих целях, расширять перечень операций по своему усмотрению, хранить данные дольше установленного срока или передавать их иным лицам вне пределов поручения и согласованных условий.

КАКИЕ ВАРИАНТЫ, ЕСЛИ ПОДРЯДЧИК НЕ ХОЧЕТ ЗАКЛЮЧАТЬ ПОРУЧЕНИЕ?

✔️Вариант 1: Добиваться подписания поручения и не передавать ПДн до подписания. Это наиболее безопасный вариант, хотя он может затянуть согласование договора.

✔️Вариант 2: Признать подрядчика вторым самостоятельным оператором. Стороны свободны в заключении договора (ст. 421 ГК РФ), и РКН не вправе трактовать условия заключенного договора, переквалифицировать отношения, выстроенные между оператором и подрядчиком. Однако модель «оператор – оператор» может быть рискованна для обеих сторон.

✔️Вариант 3: Отказаться от взаимодействия с подрядчиком и выбрать контрагента, который согласен на заключение поручения.

ЧЕК-ЛИСТ по взаимодействию с подрядчиком:

➡️Роль подрядчика. Оцените, действительно ли подрядчик самостоятельно определяет цели обработки ПДн или действует в ваших целях. Если второй вариант, то с ним необходимо подписать поручение.

➡️Корректное поручение – оружие и щит оператора. Поручение должно включать обязательные условия, установленные ч.3 ст.6 152-ФЗ. Кроме того, то, насколько проработанным будет поручение, влияет в дальнейшем на ваши возможности управления действиями подрядчика и защитой собственных интересов.

➡️Альтернативные варианты. Если подрядчик отказывается подписывать поручение, вы можете либо продолжать настаивать на заключении документа, либо переквалифицировать отношения на модель «оператор – оператор».

➡️Незаменимых нет. Если подрядчик не готов ни на один из предложенных альтернативных вариантов, возможно, стоит рассмотреть других контрагентов.

Отказ подрядчика подписывать поручение на обработку означает, что оператор лишается ключевого механизма контроля за обработкой данных.
В такой ситуации правомерным и безопасным для оператора является не продолжение передачи персональных данных на доверии, а выбор наиболее подходящего варианта взаимодействия с таким третьим лицом или отказ от сотрудничества с ним вовсе.

😎

💙 VK | 💬 ТГ | 💬 МAX | 📝 Дзен

🔎 СВЕЖИЕ ВАКАНСИИ

Рабочая неделя закончилась, а значит, можно немного выдохнуть и спокойно посмотреть, что нового появилось на рынке в нашей сфере. Собрали для вас свежие вакансии от разных компаний:

🔃 Специалист по работе с персональными данными в Интерлизинг
🔃 Главный специалист Отдела организации обработки персональных данных в АО Страховая Компания РСХБ-Страхование
🔃 Начальник отдела защиты персональных и конфиденциальных данных в ФГБОУ ВО Санкт-Петербургский государственный университет
🔃 Начальник отдела организации обработки персональных данных в АО Конструкторское бюро приборостроения им.академика А.Г.Шипунова (РОСТЕХ)
🔃 Инженер по защите информации в Красноярский краевой противотуберкулезный диспансер № 1

Выходные уже начались, поэтому хорошо вам отдохнуть! А новые возможности найдутся вовремя⭐️

😎