Kept | Cyber
705 subscribers
636 photos
2 videos
11 files
173 links
Kept Cyber – это официальный канал группы по оказанию услуг в области кибербезопасности компании Kept – одной из крупнейших аудиторско-консалтинговых фирм на российском рынке.
Задать вопрос: [email protected]
Download Telegram
CISO & DPO news #18 (1-5 апреля 2024 года)

1/8
Google ужесточила требования, предъявляемые к отправителям массовых рассылок.
2/8 В Госдуме готовится законопроект по легализации «белых хакеров».
3/8 В Linux обнаружен встроенный бэкдор.
4/8 Утверждена примерная программа повышения квалификации в области защиты ПДн.
5/8 Предложены поправки в законопроект по усилению ответственности за утечки.
6/8 Минцифры предложило создать центр безопасности искусственного интеллекта.
7/8 Опубликованы изменения в акты Правительства РФ в части использования ЕБС.
8/8 Стало известно об утечке данных 73 млн пользователей оператора связи AT&T.
Какой из методов социальной инженерии предполагает поиск информации о жертве и разработку сценария атаки?
Anonymous Quiz
33%
Baiting
20%
Tailgating
42%
Pretexting
5%
Quid pro quo («услуга за услугу»)
Социальная инженерия направлена на самое уязвимое звено в безопасности компании – человека. К популярным методам социальной инженерии относятся:

• Phishing, о котором мы рассказывали ранее;
• Pretexting – атака по заранее продуманному сценарию, который адаптируется под жертву на основе собранной информации;
• Quid pro quo – предложение совершить действие, якобы для решения проблемы жертвы;
• Baiting – побуждение к совершению жертвой действия из любопытства;
• Tailgating – проникновение в зону с ограниченным доступом следом за кем-либо.

Развитие и распространение ИТ-технологий привело к использованию комбинированных методов, включая перечисленные выше.

Для защиты от социальной инженерии необходимо непрерывно обучать сотрудников вопросам безопасной работы, а также информировать о способах кибератак и мерах противодействия.

#ИБ
Согласно п. 9 ст. 3 152-ФЗ, обезличиванием являются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных (далее – ПДн) конкретному субъекту ПДн. Важно отметить, что такие данные могут быть деобезличены, то есть их можно вернуть к первоначальной форме, позволяющей идентифицировать субъекта ПДн.

Анонимизация, напротив, не позволяет связать информацию об одном и том же лице, хранящуюся в разных базах данных или информационных системах, т.к. удаление или изменение идентифицирующих атрибутов данных носит необратимый характер. Следовательно, повторно идентифицировать субъекта ПДн невозможно.

Таким образом, основным критерием разграничения обезличенных и анонимизированных данных является возможность последующей идентификации субъекта ПДн. Поэтому к анонимизированным данным не могут применяются положения 152-ФЗ, так как в их отношении невозможно провести процедуру деобезличивания.

#Privacy
#ПолезноЗнать
29 марта завершился наш интенсив по персональным данным. За 2 дня мы провели экспресс-погружение слушателей в сферу правового регулирования и обеспечения безопасности персональных данных в России.

Наш курс разбит на модули, которые учитывают основные функции и задачи ответственного за организацию обработки ПДн в компании. Практические задания курса основаны на решении прикладных задач, с которыми работает ответственный за организацию обработки ПДн в ходе своей повседневной деятельности. Также участники решают кейсы, непосредственно связанные с их компаниями или сферой их деятельности.

Мы делаем акцент на живом общении и обсуждении вопросов, которые действительно волнуют наших участников, поэтому проводим именно очное обучение.

🟣Содержание тренинга и регистрация на новый поток доступны по ссылке. Следующий интенсив пройдет 3-4 июня в нашем московском офисе.

#Privacy
Kept Cyber представляет новую рубрику – «Де-юре»

Мы будем публиковать наиболее заметные опубликованные и вступившие в силу нормативно-правовые акты по тематике информационной безопасности и приватности в нашем канале. Сегодня представляем подборку на период 1 января – 10 апреля 2024 года.
Сводка опубликованных и вступивших в силу нормативно-правовых актов
(01.01.2024 - 10.04.2024)

Вступило в силу 1 января 2024 г.:
• Положение ЦБ РФ № 833-П о требованиях ИБ для участников платформы цифрового рубля
• ПП РФ № 1429 и № 1430 об изменениях в использовании ЕБС
 
Вступило в силу 12 января 2024 г.:
Приказ Минцифры о формах подтверждения соответствия информационных и технических средств, предназначенных для обработки биометрических персональных данных
• Перечни типовых отраслевых объектов КИИ в области химической промышленности
 
Вступило в силу 24 января 2024 г.:
Методические рекомендации Минтранса РФ по категорированию объектов КИИ в сфере транспорта
• ПП РФ № 4 об утверждении Правил установки, эксплуатации и модернизации в точках обмена трафиком технических средств противодействия угрозам сети Интернет на территории РФ
 
Вступило в силу 25 января 2024 г.:
• Перечни типовых отраслевых объектов КИИ в области горнодобывающей, металлургической и оборонной промышленности
 
Вступило в силу 1 февраля 2024 г.:
• ПП РФ № 58 об утверждении правил переоформления и прекращения допуска к государственной тайне
 
Вступило в силу 6 февраля 2024 г.:
Перечень национальных стандартов, разработанных ТК 362 и принятых Росстандартом
 
Вступило в силу 1 марта 2024 г.:
• Методические рекомендации Банка России № 4-МР по усилению контроля за отдельными операциями клиентов - физических лиц
 
Вступило в силу 27 марта 2024 г.:
Методические рекомендации ЦБ РФ № 7-МР по управлению риском ИБ и обеспечению операционной надежности
 
Вступило в силу 1 апреля 2024 г.:
• Положение ЦБ РФ № 821-П о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств
• Положение Банка России № 822-П о требованиях к защите информации, содержащейся в автоматизированной информационной системе страхования
 
Вступило в силу 6 апреля 2024 г.:
• Приказ Роскомнадзора № 25 об утверждении условий установки техсредств противодействия угрозам, а также требований к сетям связи при использовании таких средств

#ДеЮре
#Privacy
#ИБ
Вопрос:
Для чего нужен Реестр процессов обработки персональных данных (ПДн)?

Ответ:
Реестр процессов обработки ПДн (далее – Реестр) – это инструмент, который содержит информацию о процессах обработки ПДн в компании. Основная задача Реестра – составить полную картину о составе, целях и способах обработки ПДн в компании. Также наличие Реестра позволяет соблюсти требование п. 2 ч. 1 152-ФЗ по наличию внутреннего документа, определяющего цели обработки ПДн и перечень ПДн.

Законодательство РФ в области ПДн не содержит требований к содержанию Реестра, поэтому в качестве «лучших практик» предлагаем обратиться к ст. 30 GDPR а также рекомендациям и инструментам по ведению Реестра от регуляторов Евросоюза.

Команда Kept Cyber предлагает включать в Реестр следующие разделы:

· название процесса обработки ПДн;
· роль компании в обработке ПДн;
· цели, правовые основания обработки ПДн, их объем, а также сроки хранения;
· перечень субъектов ПДн, которым принадлежат данные;
· подразделения, участвующие в процессе обработки ПДн;
· сведения о способе обработке ПДн (документы и информационные системы, в которые передаются ПДн, и информация о местах расположения баз данных таких систем);
· сведения о взаимодействии с третьими лицами (передаются ли данные третьим лицам, каким именно и на каком правовом основании, включая трансграничную передачу).
 
#ОтвечаетKept
#Privacy
CISO & DPO news #19 (8-12 апреля 2024 года)

1/8
Российские компании стали целью вымогателей Muliaka.
2/8 В Telegram найдена новая уязвимость.
3/8 Хакерская группировка TA547 атакует немецкие организации с помощью ИИ.
4/8 Microsoft устранила в своих продуктах 149 уязвимостей безопасности.
5/8 Роскомнадзор планирует использовать ИИ при мониторинге интернет-ресурсов.
6/8 За 2023 г. объем утечек персональных данных в мире увеличился в 2 раза.
7/8 Издана структура и методология расчета индекса кибербезопасности в Евросоюзе.
8/8 Обсуждается обязательная идентификация администраторов доменов в РФ.