CISO & DPO news #18 (1-5 апреля 2024 года)
1/8 Google ужесточила требования, предъявляемые к отправителям массовых рассылок.
2/8 В Госдуме готовится законопроект по легализации «белых хакеров».
3/8 В Linux обнаружен встроенный бэкдор.
4/8 Утверждена примерная программа повышения квалификации в области защиты ПДн.
5/8 Предложены поправки в законопроект по усилению ответственности за утечки.
6/8 Минцифры предложило создать центр безопасности искусственного интеллекта.
7/8 Опубликованы изменения в акты Правительства РФ в части использования ЕБС.
8/8 Стало известно об утечке данных 73 млн пользователей оператора связи AT&T.
1/8 Google ужесточила требования, предъявляемые к отправителям массовых рассылок.
2/8 В Госдуме готовится законопроект по легализации «белых хакеров».
3/8 В Linux обнаружен встроенный бэкдор.
4/8 Утверждена примерная программа повышения квалификации в области защиты ПДн.
5/8 Предложены поправки в законопроект по усилению ответственности за утечки.
6/8 Минцифры предложило создать центр безопасности искусственного интеллекта.
7/8 Опубликованы изменения в акты Правительства РФ в части использования ЕБС.
8/8 Стало известно об утечке данных 73 млн пользователей оператора связи AT&T.
Какой из методов социальной инженерии предполагает поиск информации о жертве и разработку сценария атаки?
Anonymous Quiz
33%
Baiting
20%
Tailgating
42%
Pretexting
5%
Quid pro quo («услуга за услугу»)
Социальная инженерия направлена на самое уязвимое звено в безопасности компании – человека. К популярным методам социальной инженерии относятся:
• Phishing, о котором мы рассказывали ранее;
• Pretexting – атака по заранее продуманному сценарию, который адаптируется под жертву на основе собранной информации;
• Quid pro quo – предложение совершить действие, якобы для решения проблемы жертвы;
• Baiting – побуждение к совершению жертвой действия из любопытства;
• Tailgating – проникновение в зону с ограниченным доступом следом за кем-либо.
Развитие и распространение ИТ-технологий привело к использованию комбинированных методов, включая перечисленные выше.
Для защиты от социальной инженерии необходимо непрерывно обучать сотрудников вопросам безопасной работы, а также информировать о способах кибератак и мерах противодействия.
#ИБ
• Phishing, о котором мы рассказывали ранее;
• Pretexting – атака по заранее продуманному сценарию, который адаптируется под жертву на основе собранной информации;
• Quid pro quo – предложение совершить действие, якобы для решения проблемы жертвы;
• Baiting – побуждение к совершению жертвой действия из любопытства;
• Tailgating – проникновение в зону с ограниченным доступом следом за кем-либо.
Развитие и распространение ИТ-технологий привело к использованию комбинированных методов, включая перечисленные выше.
Для защиты от социальной инженерии необходимо непрерывно обучать сотрудников вопросам безопасной работы, а также информировать о способах кибератак и мерах противодействия.
#ИБ
Согласно п. 9 ст. 3 152-ФЗ, обезличиванием являются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных (далее – ПДн) конкретному субъекту ПДн. Важно отметить, что такие данные могут быть деобезличены, то есть их можно вернуть к первоначальной форме, позволяющей идентифицировать субъекта ПДн.
Анонимизация, напротив, не позволяет связать информацию об одном и том же лице, хранящуюся в разных базах данных или информационных системах, т.к. удаление или изменение идентифицирующих атрибутов данных носит необратимый характер. Следовательно, повторно идентифицировать субъекта ПДн невозможно.
Таким образом, основным критерием разграничения обезличенных и анонимизированных данных является возможность последующей идентификации субъекта ПДн. Поэтому к анонимизированным данным не могут применяются положения 152-ФЗ, так как в их отношении невозможно провести процедуру деобезличивания.
#Privacy
#ПолезноЗнать
Анонимизация, напротив, не позволяет связать информацию об одном и том же лице, хранящуюся в разных базах данных или информационных системах, т.к. удаление или изменение идентифицирующих атрибутов данных носит необратимый характер. Следовательно, повторно идентифицировать субъекта ПДн невозможно.
Таким образом, основным критерием разграничения обезличенных и анонимизированных данных является возможность последующей идентификации субъекта ПДн. Поэтому к анонимизированным данным не могут применяются положения 152-ФЗ, так как в их отношении невозможно провести процедуру деобезличивания.
#Privacy
#ПолезноЗнать
29 марта завершился наш интенсив по персональным данным. За 2 дня мы провели экспресс-погружение слушателей в сферу правового регулирования и обеспечения безопасности персональных данных в России.
Наш курс разбит на модули, которые учитывают основные функции и задачи ответственного за организацию обработки ПДн в компании. Практические задания курса основаны на решении прикладных задач, с которыми работает ответственный за организацию обработки ПДн в ходе своей повседневной деятельности. Также участники решают кейсы, непосредственно связанные с их компаниями или сферой их деятельности.
Мы делаем акцент на живом общении и обсуждении вопросов, которые действительно волнуют наших участников, поэтому проводим именно очное обучение.
🟣Содержание тренинга и регистрация на новый поток доступны по ссылке. Следующий интенсив пройдет 3-4 июня в нашем московском офисе.
#Privacy
Наш курс разбит на модули, которые учитывают основные функции и задачи ответственного за организацию обработки ПДн в компании. Практические задания курса основаны на решении прикладных задач, с которыми работает ответственный за организацию обработки ПДн в ходе своей повседневной деятельности. Также участники решают кейсы, непосредственно связанные с их компаниями или сферой их деятельности.
Мы делаем акцент на живом общении и обсуждении вопросов, которые действительно волнуют наших участников, поэтому проводим именно очное обучение.
🟣Содержание тренинга и регистрация на новый поток доступны по ссылке. Следующий интенсив пройдет 3-4 июня в нашем московском офисе.
#Privacy
Сводка опубликованных и вступивших в силу нормативно-правовых актов
(01.01.2024 - 10.04.2024)
Вступило в силу 1 января 2024 г.:
• Положение ЦБ РФ № 833-П о требованиях ИБ для участников платформы цифрового рубля
• ПП РФ № 1429 и № 1430 об изменениях в использовании ЕБС
Вступило в силу 12 января 2024 г.:
• Приказ Минцифры о формах подтверждения соответствия информационных и технических средств, предназначенных для обработки биометрических персональных данных
• Перечни типовых отраслевых объектов КИИ в области химической промышленности
Вступило в силу 24 января 2024 г.:
• Методические рекомендации Минтранса РФ по категорированию объектов КИИ в сфере транспорта
• ПП РФ № 4 об утверждении Правил установки, эксплуатации и модернизации в точках обмена трафиком технических средств противодействия угрозам сети Интернет на территории РФ
Вступило в силу 25 января 2024 г.:
• Перечни типовых отраслевых объектов КИИ в области горнодобывающей, металлургической и оборонной промышленности
Вступило в силу 1 февраля 2024 г.:
• ПП РФ № 58 об утверждении правил переоформления и прекращения допуска к государственной тайне
Вступило в силу 6 февраля 2024 г.:
• Перечень национальных стандартов, разработанных ТК 362 и принятых Росстандартом
Вступило в силу 1 марта 2024 г.:
• Методические рекомендации Банка России № 4-МР по усилению контроля за отдельными операциями клиентов - физических лиц
Вступило в силу 27 марта 2024 г.:
• Методические рекомендации ЦБ РФ № 7-МР по управлению риском ИБ и обеспечению операционной надежности
Вступило в силу 1 апреля 2024 г.:
• Положение ЦБ РФ № 821-П о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств
• Положение Банка России № 822-П о требованиях к защите информации, содержащейся в автоматизированной информационной системе страхования
Вступило в силу 6 апреля 2024 г.:
• Приказ Роскомнадзора № 25 об утверждении условий установки техсредств противодействия угрозам, а также требований к сетям связи при использовании таких средств
#ДеЮре
#Privacy
#ИБ
(01.01.2024 - 10.04.2024)
Вступило в силу 1 января 2024 г.:
• Положение ЦБ РФ № 833-П о требованиях ИБ для участников платформы цифрового рубля
• ПП РФ № 1429 и № 1430 об изменениях в использовании ЕБС
Вступило в силу 12 января 2024 г.:
• Приказ Минцифры о формах подтверждения соответствия информационных и технических средств, предназначенных для обработки биометрических персональных данных
• Перечни типовых отраслевых объектов КИИ в области химической промышленности
Вступило в силу 24 января 2024 г.:
• Методические рекомендации Минтранса РФ по категорированию объектов КИИ в сфере транспорта
• ПП РФ № 4 об утверждении Правил установки, эксплуатации и модернизации в точках обмена трафиком технических средств противодействия угрозам сети Интернет на территории РФ
Вступило в силу 25 января 2024 г.:
• Перечни типовых отраслевых объектов КИИ в области горнодобывающей, металлургической и оборонной промышленности
Вступило в силу 1 февраля 2024 г.:
• ПП РФ № 58 об утверждении правил переоформления и прекращения допуска к государственной тайне
Вступило в силу 6 февраля 2024 г.:
• Перечень национальных стандартов, разработанных ТК 362 и принятых Росстандартом
Вступило в силу 1 марта 2024 г.:
• Методические рекомендации Банка России № 4-МР по усилению контроля за отдельными операциями клиентов - физических лиц
Вступило в силу 27 марта 2024 г.:
• Методические рекомендации ЦБ РФ № 7-МР по управлению риском ИБ и обеспечению операционной надежности
Вступило в силу 1 апреля 2024 г.:
• Положение ЦБ РФ № 821-П о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств
• Положение Банка России № 822-П о требованиях к защите информации, содержащейся в автоматизированной информационной системе страхования
Вступило в силу 6 апреля 2024 г.:
• Приказ Роскомнадзора № 25 об утверждении условий установки техсредств противодействия угрозам, а также требований к сетям связи при использовании таких средств
#ДеЮре
#Privacy
#ИБ
Вопрос:
Для чего нужен Реестр процессов обработки персональных данных (ПДн)?
Ответ:
Реестр процессов обработки ПДн (далее – Реестр) – это инструмент, который содержит информацию о процессах обработки ПДн в компании. Основная задача Реестра – составить полную картину о составе, целях и способах обработки ПДн в компании. Также наличие Реестра позволяет соблюсти требование п. 2 ч. 1 152-ФЗ по наличию внутреннего документа, определяющего цели обработки ПДн и перечень ПДн.
Законодательство РФ в области ПДн не содержит требований к содержанию Реестра, поэтому в качестве «лучших практик» предлагаем обратиться к ст. 30 GDPR а также рекомендациям и инструментам по ведению Реестра от регуляторов Евросоюза.
Команда Kept Cyber предлагает включать в Реестр следующие разделы:
· название процесса обработки ПДн;
· роль компании в обработке ПДн;
· цели, правовые основания обработки ПДн, их объем, а также сроки хранения;
· перечень субъектов ПДн, которым принадлежат данные;
· подразделения, участвующие в процессе обработки ПДн;
· сведения о способе обработке ПДн (документы и информационные системы, в которые передаются ПДн, и информация о местах расположения баз данных таких систем);
· сведения о взаимодействии с третьими лицами (передаются ли данные третьим лицам, каким именно и на каком правовом основании, включая трансграничную передачу).
#ОтвечаетKept
#Privacy
Для чего нужен Реестр процессов обработки персональных данных (ПДн)?
Ответ:
Реестр процессов обработки ПДн (далее – Реестр) – это инструмент, который содержит информацию о процессах обработки ПДн в компании. Основная задача Реестра – составить полную картину о составе, целях и способах обработки ПДн в компании. Также наличие Реестра позволяет соблюсти требование п. 2 ч. 1 152-ФЗ по наличию внутреннего документа, определяющего цели обработки ПДн и перечень ПДн.
Законодательство РФ в области ПДн не содержит требований к содержанию Реестра, поэтому в качестве «лучших практик» предлагаем обратиться к ст. 30 GDPR а также рекомендациям и инструментам по ведению Реестра от регуляторов Евросоюза.
Команда Kept Cyber предлагает включать в Реестр следующие разделы:
· название процесса обработки ПДн;
· роль компании в обработке ПДн;
· цели, правовые основания обработки ПДн, их объем, а также сроки хранения;
· перечень субъектов ПДн, которым принадлежат данные;
· подразделения, участвующие в процессе обработки ПДн;
· сведения о способе обработке ПДн (документы и информационные системы, в которые передаются ПДн, и информация о местах расположения баз данных таких систем);
· сведения о взаимодействии с третьими лицами (передаются ли данные третьим лицам, каким именно и на каком правовом основании, включая трансграничную передачу).
#ОтвечаетKept
#Privacy
CISO & DPO news #19 (8-12 апреля 2024 года)
1/8 Российские компании стали целью вымогателей Muliaka.
2/8 В Telegram найдена новая уязвимость.
3/8 Хакерская группировка TA547 атакует немецкие организации с помощью ИИ.
4/8 Microsoft устранила в своих продуктах 149 уязвимостей безопасности.
5/8 Роскомнадзор планирует использовать ИИ при мониторинге интернет-ресурсов.
6/8 За 2023 г. объем утечек персональных данных в мире увеличился в 2 раза.
7/8 Издана структура и методология расчета индекса кибербезопасности в Евросоюзе.
8/8 Обсуждается обязательная идентификация администраторов доменов в РФ.
1/8 Российские компании стали целью вымогателей Muliaka.
2/8 В Telegram найдена новая уязвимость.
3/8 Хакерская группировка TA547 атакует немецкие организации с помощью ИИ.
4/8 Microsoft устранила в своих продуктах 149 уязвимостей безопасности.
5/8 Роскомнадзор планирует использовать ИИ при мониторинге интернет-ресурсов.
6/8 За 2023 г. объем утечек персональных данных в мире увеличился в 2 раза.
7/8 Издана структура и методология расчета индекса кибербезопасности в Евросоюзе.
8/8 Обсуждается обязательная идентификация администраторов доменов в РФ.