Kept | Cyber
705 subscribers
636 photos
2 videos
11 files
173 links
Kept Cyber – это официальный канал группы по оказанию услуг в области кибербезопасности компании Kept – одной из крупнейших аудиторско-консалтинговых фирм на российском рынке.
Задать вопрос: [email protected]
Download Telegram
Вопрос:
 
Зачем проходить аудит системы внутренних контролей ИБ c выпуском отчета SOC 2 / SOC 3?
 
Ответ:
 
Для того чтобы клиенты могли ознакомиться с особенностями контрольной среды обслуживающей организации в области ИБ и убедиться в ее эффективности.
 
Аудиты System and Organization Controls позволяют обслуживающим организациям, предоставляющим услуги клиентам, получить независимое заключение об эффективности системы внутренних контролей ­в виде отчетов SOC 2 или SOC 3. Отчет SOC 2 может быть двух типов:  
· Type I – выпускается на определенную дату, покрывает эффективность дизайна и внедрения контрольных процедур.
· Type II – выпускается за период времени, покрывает эффективность дизайна и внедрения, а также операционную эффективность контрольных процедур.
 
Отчет SOC 3, о котором мы писали ранее, представляет собой сокращенную версию отчета SOC 2 type II.
 
Для подготовки указанных SOC-отчетов используются критерии надежности сервисов (TSC), разработанные Американским институтом дипломированных бухгалтеров (AICPA) на основе принципов COSO. Процедуры аудита выполняются в соответствии со стандартами аудита – МСЗОУ / ISAE 3000 либо SSAE-18.
 
В зависимости от области аудита отчет включает в себя независимую оценку по результатам аудита системы внутренних контролей ИБ в отношении одного или нескольких доменов:
· безопасность – обязательный домен;
· доступность;
· конфиденциальность;
· целостность обработки данных;
· защита персональных данных.
 
SOC-отчеты содержат заключение аудитора в отношении утверждений руководства компании об эффективности внутренних контролей ИБ с учетом критериев TSC, а также в отношении достижения определенных руководством компании целей обеспечения безопасности сервисов.
 
Помимо рассмотренных отчетов SOC 2 и SOC 3 существуют также отчеты SOC 1, однако они направлены на контроли в области финансовой отчетности, выполняются по другим критериям и на основе отдельного аудиторского стандарта – МСЗОУ / ISAE 3402 или того же SSAE-18.

#ИБ
#ОтвечаетKept
Вопрос:

Будет ли размещение персональных данных (ПДн) на рекламном щите (билборде) распространением ПДн?

Ответ:

Отвечая на данный вопрос, необходимо рассмотреть два похожих способа раскрытия информации о субъекте ПДн – распространение и предоставление ПДн. Основное различие между ними заключается в круге лиц, которым раскрывается информация.

Примером предоставления ПДн может послужить вывеска на двери кабинета с указанием Ф.И.О. и должности работника компании. В данном случае информирование происходит в отношении определенного круга лиц - посетителей территории офиса/бизнес-центра (подтверждается позицией Роскомнадзора, высказанной на дне открытых дверей 28.01.2022 г).
При размещении ПДн на уличном рекламном щите ознакомление с информацией будет осуществляться неопределенным кругом лиц, а значит, является их распространением.

Распространение может осуществляться на основании согласия, которое берется отдельно от других форм согласий (ч. 1 ст. 10.1 152-ФЗ). При этом молчание или бездействие субъекта не может считаться согласием на распространение ПДн (ч. 8 ст. 10.1 152-ФЗ).

Для законного распространения ПДн необходимо:
· разработать согласие на распространение в соответствии с приказом Роскомнадзора, предусмотрев в нем поля для внесения условий и запретов, которые субъект ПДн может установить;
· получить от субъекта согласие на распространение его ПДн (о содержании такого согласия мы говорили ранее) и обрабатывать ПДн только в рамках полученного согласия;
· так как распространение ПДн через билборд не подразумевает использование интернет-сайта, то в соответствующем поле согласия делается прочерк и заполняются другие.

#Privacy
#ОтвечаетKept
Вопрос:

Зачем нужен Business Continuity Plan?

Ответ:

Одним из важнейших аспектов управления непрерывностью бизнеса является план непрерывности бизнеса (Business Continuity Plan, BCP).

BCP направлен на обеспечение непрерывности бизнес-процессов и минимизацию последствий от непредвиденных событий, катастроф или кризисов, которые могут повлиять на работу компании.

При разработке BCP необходимо:
• Определить критически важные бизнес-процессы и системы.
• Оценить возможные угрозы и связанные с ними риски.
• Разработать стратегии и планы на случай различных сценариев развития событий.
• Определить требуемые для реализации планов ресурсы и инфраструктуру.
• Разработать процедуры и инструкции для сотрудников.
• Проводить тестирование и оценку планов.
• Регулярно обновлять и адаптировать планы.

BCP и ИБ тесно связаны в контексте обеспечения безопасности и устойчивости бизнес-процессов. ИБ обеспечивает защиту информации и систем, а BCP является планом действий, направленным на обеспечение непрерывности и минимизации последствий.
 
#ИБ
#ОтвечаетKept
Вопрос:

Какие есть наиболее распространенные заблуждения об анонимизации?

Ответ:

О термине и о методах анонимизации мы рассказывали ранее. Сегодня мы рассмотрим ключевые заблуждения об анонимизированных данных, которые представлены в отчете Европейского органа по защите данных (EDPS) и Испанского агентства по защите данных (AEPD).

Миф 1. Псевдонимизация = анонимизации
Псевдонимизация позволяет идентифицировать субъекта ПДн через дополнительную информацию, при анонимизации это невозможно.

Миф 2. Шифрование — это анонимизация
Шифрованные ПДн могут быть расшифрованы что создает риски идентификации субъекта ПДн.

Миф 3. Все наборы ПДн подлежат анонимизации
Анонимизация применима не для всех задач и зависит от контекста обработки ПДн. При малой выборке ПДн анонимизация может не защитить от обратной идентификации ПДн.

Миф 4. Анонимизация – это необратимый процесс
В зависимости от метода анонимизации, с развитием технологий или получением новой информации ПДн могут быть деанонимизированы.

Миф 5. Анонимизация – это неизмеримое понятие
Степень анонимизации можно проанализировать и измерить. Вероятность деанонимизации ПДн зависит от возможности выделения ПДн, что следует учитывать при оценке рисков деанонимизации.

Миф 6. Возможна полная автоматизация анонимизации
Для проведения анонимизации допускается использование средств автоматизации, но данный процесс анонимизации должен находится под контролем эксперта.

Миф 7. Анонимизированные ПДн бесполезны
Анонимизированные ПДн могут быть полезны, например, для цели ведения статистики. Если анонимизация не подходит, то, например, можно вести обработку псевдонимизированных ПДн.

Миф 8. Применение процессов анонимизации иных компаний приведет к успеху
Процесс анонимизации не совпадать в разных компаниях, так как будет отличаться контекст обработки - характер, объем и цели обработки ПДн.

Миф 9. Деанонимизация не несет рисков
Деанонимизация ПДн может привести к раскрытию ПДн, в которых могут быть заинтересованы злоумышленники. В таком случае существуют риски нарушения прав субъектов ПДн.

#Privacy
#ОтвечаетKept
Вопрос:
 
Должны ли субъекты малого и среднего предпринимательства, а также индивидуальные предприниматели реализовывать требования 152-ФЗ?
 
Ответ:

Да, должны.
 
В соответствии с п. 2 ст. 3 152-ФЗ, оператором является любое физическое или юридическое лицо, осуществляющее обработку ПДн. В законодательстве не содержится исключений для субъектов малого и среднего предпринимательства (МСП).
 
Законодательство не предусматривает исключений для субъектов МСП и такие компании не освобождены от обязанностей, предусмотренных 152-ФЗ, в том числе, по регистрации в реестре операторов ПДн и опубликованию политики обработки ПДн.
 
Минцифры и Роскомнадзор придерживаются аналогичной позиции. В ответ на соответствующий запрос представители ведомств ответили, что если индивидуальный предприниматель осуществляет обработку ПДн, то на него будут распространяться требования 152-ФЗ и он обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн.
 
Для облегчения документарного сопровождения МСП в РФ функционирует сервис «конструктор документов Цифровой платформы МСП.РФ», который упрощает составление политики обработки ПДн, а также подачу уведомления в Роскомнадзор.

#Privacy
#ОтвечаетKept
Вопрос:

Что такое Data Privacy Framework (DPF)?

Ответ:

Data Privacy Framework (DPF) — это механизм обеспечения защиты персональных данных (ПДн) в соответствии с требованиями GDPR при передаче из США в страны Европейского Союза (ЕС), Великобританию и Швейцарию.

Использование DPF позволяет исключить необходимость использования стандартных договорных условий (Standard Contractual Clauses) или других надлежащих гарантий, необходимых для защиты ПДн, передаваемых в США из ЕС.

Американские компании, желающие участвовать в программе, обязаны пройти процедуру самостоятельной сертификации и соблюдать следующие требования DPF:

1️⃣ назначить ответственное лицо по вопросам ПДн;
2️⃣ внедрить принципы приватности в компании;
3️⃣ разработать политику обработки ПДн;
4️⃣ внедрить меры передачи ПДн третьим лицам и д.р.

Внедрив все меры, компания направляет документы на рассмотрение в Управление международной торговли (ITA), входящего в состав Департамента торговли США (USA Department of Commerce). Если замечаний нет, компанию вносят в реестр участников. Проверить, включена ли организация в список компаний, участвующих в DPF, можно на официальном сайте.

DPF заменил программу Privacy Shield и позволяет компаниям упростить процедуру передачи ПДн в США.

#Privacy
#GDPR
#ОтвечаетKept
Please open Telegram to view this post
VIEW IN TELEGRAM
Вопрос:

Как правильно оценить критичность процессов в рамках категорирования объектов КИИ?

Ответ:

По результатам инвентаризации процессов Компании необходимо провести оценку их критичности в соответствии с критериями, приведенными в Постановлении Правительства № 127. Другими словами, из всех процессов Компании надо выделить процессы, нарушение и (или) прекращение которых может привести к негативным:
🔸социальным последствиям;
🔸политическим последствиям;
🔸экономическим последствиям;
🔸экологическим последствиям;
🔸последствиям для обеспечения обороны страны, безопасности государства и правопорядка.

Процесс может быть отнесен к критичным, если существует вероятность наступления негативных последствий в соответствии с критериями значимости в следующих областях: социальная, политическая, экономическая, экологическая значимость для обеспечения обороны страны, безопасности государства и правопорядка.

При этом особое внимание стоит уделять процессам, которые реализуют основные виды деятельности Компании. Такие виды деятельности можно определить по результатам анализа ОКВЭД и Устава компании.

В целях фиксации результатов выявления критических процессов, постоянно действующей комиссии по категорированию объектов КИИ следует составить документ, включающий в себя перечень критических процессов Компании с указанием актуальности показателей критериев значимости.

#КИИ
#ОтвечаетKept
Please open Telegram to view this post
VIEW IN TELEGRAM
Вопрос:

Как изменения в Правилах категорирования объектов КИИ повлияют на субъектов КИИ?

Ответ:

27 сентября 2024 г. вступили в силу изменения в Постановление Правительства № 127.

Основные изменения:

1️⃣Исключена процедура формирования перечня объектов КИИ из процесса категорирования объектов КИИ.
2️⃣Уменьшен перечень обязанностей комиссии по категорированию объектов КИИ.

Последствия изменений ранее субъекты КИИ имели один год на категорирование объектов КИИ с даты утверждения перечня объектов КИИ. Теперь разрабатывать и направлять перечень объектов на во ФСТЭК России не требуется.
Однако субъекты, которые не провели категорирование, лишились года, отводимого на подготовку сведений о результатах категорирования объектов КИИ.

Возможные риски субъект КИИ, который не направил формы сведений о результатах категорирования в ФСТЭК России, при проверке надзорным органом может быть сразу привлечен к административной ответственности (ч. 1 ст. 19.7.15 КоАП РФ).

Ознакомиться с полным текстом изменений можно по ссылке.

#КИИ
#ОтвечаетKept
Please open Telegram to view this post
VIEW IN TELEGRAM
Вопрос:

Для чего можно использовать менеджер паролей?
 
Ответ:

Сегодня сотрудники компаний используют множество внешних сервисов, что создает повышенные риски ИБ, возникающие, как правило, при небезопасном хранении своих паролей или при выборе одного пароля для разных сервисов.
Подходящим вариантом минимизации такой категории рисков может быть менеджер паролей — сервис, предназначенный для безопасного управления паролями. О принципах создания паролей мы говорили ранее.

К преимуществам использования такого сервиса относятся:

🔸Защита паролей: хранение всех паролей пользователя в зашифрованной базе данных, которая защищена одним главным паролем (мастер-паролем).
🔸Защита систем: при компрометации учётных записей или увольнении работника возможна оперативная смена паролей во всех системах компании.
🔸Удобство: генерация уникальных и надежных паролей для каждого аккаунта и отсутствие необходимости запоминания паролей.
🔸Ускорение процесса авторизации: автоматическое заполнение соответствующих форм паролями и логинами для входа в систему.
🔸Синхронизация: получение доступа к паролям на разных устройствах пользователя через сервис.
🔸Безопасный обмен: передача паролей между пользователями через сервис.
🔸Аудит безопасности: своевременное уведомление о слабых или украденных паролях.

Сценариями использования менеджера паролей компанией могут быть:

🔸Контроль соблюдения работниками парольной политики.
🔸Проведение аудитов использования паролей с возможностью выявлять подозрительные учетные записи.
🔸Организация безопасного обмена паролями доступа к папкам или ПО между работниками, который может потребоваться в рамках проекта.
🔸Автоматизация предоставления паролей для новых работников и сброса паролей для увольняющихся.

Популярные сервисы менеджера паролей, которые предлагают различные уровни защиты и возможности в зависимости от потребностей:

🔸BearPass
🔸Bitwarden
🔸CommonKey
🔸Passbolt
🔸Passwork
🔸Zoho Vault

#ИБ
#ОтвечаетKept
Please open Telegram to view this post
VIEW IN TELEGRAM
Вопрос:

Как определить объекты КИИ?

Ответ:

Информационные системы (ИС), автоматизированные системы управления (АСУ) и информационно-телекоммуникационные сети (ИТКС) могут являться объектами КИИ, если:
🔸используются для обработки информации, необходимой для обеспечения критического процесса;
🔸используются для управления, контроля или мониторинга критических процессов;
🔸упомянуты перечне типовых отраслевых объектов КИИ, которые издаются регуляторами соответствующих сфер деятельности.

Недавно из Постановления Правительства № 127 (ПП РФ № 127) была исключена процедура согласования со ФСТЭК России перечней объектов КИИ. При этом остался неизменным порядок, при котором субъекту КИИ по результатам определения критических процессов необходимо отнести ИС, АСУ и ИТКС к объектам КИИ.

Стоит отметить, что в настоящий момент опубликованы перечни типовых отраслевых объектов КИИ по следующим сферам:
🔸здравоохранения;
🔸транспорта;
🔸энергетики;
🔸оборонной промышленности;
🔸горнодобывающей промышленности;
🔸металлургической промышленности;
🔸химической промышленности.

Указанные типовые перечни отраслевых объектов КИИ могут использоваться как ориентир – то на что компаниям следует обратить внимание при отнесении ИС, АСУ и ИТКС к объектам КИИ.

#КИИ
#ОтвечаетKept
Please open Telegram to view this post
VIEW IN TELEGRAM
Вопрос:

Какие требования PCI DSS v.4.0 к шифрованию данных нужно выполнить в 2025 году?

Ответ:

31 марта 2022 г. был опубликован стандарт PCI DSS v.4.0, в котором обновились требования по обеспечению безопасности при защите данных платежных карт, в том числе в отношении шифрования. Часть требований вступает в силу с 31 марта 2025 г., среди которых:

▫️Шифрование данных при их хранении и передаче
Данные держателей карт должны быть защищены как при хранении, так и при передаче через публичные сети. Использование шифрования является обязательным.

▫️Управление ключами
Запрещается использовать одни и те же ключи в производственных и тестовых средах. Кроме того, необходимо применять одобренные генераторы случайных чисел.

▫️Критичные аутентификационные данные
Все важные аутентификационные данные (например, PIN, CVC2), хранящиеся до момента авторизации транзакции, должны быть защищены с использованием шифрования.

▫️Ограничения на шифрование на уровне диска
Шифрование на уровне диска разрешается только для съёмных носителей; в других ситуациях должны быть применены дополнительные меры по обеспечению безопасности данных.

▫️Контроль сертификатов
Необходимо регулярно проверять актуальность сертификатов, используемых для защиты информации при её передаче.

Следует учесть, что с 1 января 2025 г. вступят в силу требования, изложенные в Указе Президента РФ № 250, в части импортозамещения решений по защите информации из недружественных стран. Указанные требования распространяются, помимо прочих, на субъекты КИИ, функционирующие в банковской сфере и иных сферах финансового рынка.
Соответственно, субъектам КИИ при реализации требований PCI DSS 4.0 рекомендуется обратить внимание на положения Указа Президента РФ № 250 об импортозамещении и подбирать подходящие решения.

#ИБ
#ОтвечаетKept
Please open Telegram to view this post
VIEW IN TELEGRAM