Kept | Cyber
705 subscribers
636 photos
2 videos
11 files
173 links
Kept Cyber – это официальный канал группы по оказанию услуг в области кибербезопасности компании Kept – одной из крупнейших аудиторско-консалтинговых фирм на российском рынке.
Задать вопрос: [email protected]
Download Telegram
Вопрос:
Какие есть рекомендации по обеспечению информационной безопасности цепочки поставок?

Ответ:
Уязвимости в цепочке могут привести к серьезным последствиям: компьютерным атакам, нарушению процессов, несанкционированному доступу к информации и финансовым потерям. Для минимизации рисков важно использовать комплексный подход к управлению безопасностью цепочки поставок на всех этапах и для всех задействованных в лиц.

Для обеспечения безопасности цепочки поставок рекомендуется проводить следующие мероприятия:

1️⃣ Провести анализ цепочки поставок и определить риски
Следует проанализировать свою цепочку поставок и найти слабые места, которые могут стать целью атак.

2️⃣ Провести проверку всех участников цепочки поставок
Необходимо проверить участников на их соответствие требованиям в области ИБ, в особенности обратить внимание на лиц, которые признаны уязвимыми к атакам по результатам анализа.

3️⃣ Ограничить доступы
Для участников должен предоставляться доступ только к необходимым данным. Рекомендуется сегментировать сети для минимизации ущерба в случае атаки.

4️⃣ Провести обучение
Обучение собственного персонала и сотрудников поставщиков поставок позволит им оперативно реагировать на киберугрозы и снизит вероятность возникновения таких угроз.

5️⃣ Проводить мониторинг активности
Следует организовать мониторинг активности в сети, на рабочих местах и серверах компании.

6️⃣ Регулярно перепроверять поставщиков
Необходимо на постоянной основе оценивать риски для каждого партнёра и сегмента цепочки с целью выявления, анализа и устранения потенциальных рисков.

7️⃣ Разработать планы и процедуры на случай инцидента
Следует подготовить план реагирования и план непрерывности деятельности. В плане реагирования необходимо определить порядок действий на случай инцидента, а в плане непрерывности деятельности – порядок обеспечения непрерывности процессов.

#ИБ
#ПолезноЗнать
Please open Telegram to view this post
VIEW IN TELEGRAM
CISO & DPO news #46 (17-24 октября 2024 года)
 
1/8 В коде Android- и iOS-приложений найдены учётные данные в открытом виде.
2/8 Опубликованы «вредные советы» по ИБ для разработчиков ПО.
3/8 Обнаружена активность хакерской группы Crypt Ghouls в РФ.
4/8 Исправлены критичные уязвимости в продуктах Atlassian.
5/8 Замечен рост информированности граждан в отношении биометрических технологий.
6/8 Опубликованы результаты проверки Управления Роскомнадзора по Тюменской области.
7/8 Граждане смогут предоставить биометрические данные в ЕБС через приложения банков.
8/8 Роскомнадзор предложил создать стандарты работы с персональными данными.
Media is too big
VIEW IN TELEGRAM
25 октября Роман Мартинсон, руководитель направления по оказанию услуг в области персональных данных Kept, принял участие в Евразийском конгрессе по защите данных (EDPC). В рамках дискуссии Роман рассказал о преимуществах привлечения внешних консультантов при решении задач в области приватности.

Запись полной версии дискуссии доступна по ссылке.
В России требования к защите персональных данных (далее – ПДн) при их передаче третьим лицам регулируется Федеральным законом № 152-ФЗ «О персональных данных» и рядом других нормативно-правовых актов. Помимо законодательно установленных требований, для минимизации рисков передачи ПДн следует применять следующие меры:

1️⃣ Предварительная проверка контрагента
Перед передачей ПДн рекомендуется запросить у потенциального контрагента информацию о реализованной у него системе обеспечения безопасности информации. Это можно сделать несколькими способами:

• получить сертификаты соответствия системы защиты требованиям международных стандартов (ISO / IEC 27001, ISO / IEC 27701);
• попросить заполнить чек-листы с описанием реализованных в компании организационных и технических мер защиты;
• получить независимое заключение об эффективности системы внутренних контролей – в виде отчетов SOC 2 или SOC 3;
• запросить результаты тестирования на проникновение;
• провести интервью со специалистами компании в области ИБ и пр.

2️⃣ Положения о защите ПДн в договоре с контрагентом
Необходимо включить в договор или соглашение с контрагентом положения, которые предусматривают меры защиты ПДн. Например, обязательства по обеспечению конфиденциальности ПДн, правила уведомления об инцидентах, требования об обеспечении правовых оснований при уничтожении или передаче ПДн по окончанию обработки. В случае поручения обработки ПДн контрагенту, необходимо учесть требования к поручению.
Также рекомендуется проводить периодический аудит контрагента на предмет соблюдения требований договора / поручения в части обработки и обеспечения безопасности ПДн.

3️⃣ Обеспечение защиты ПДн
Чтобы обеспечить защиту предаваемых ПДн, можно использовать шифрование, анонимизацию, защищенные протоколы передачи, двухстороннюю аутентификацию и др. Данные меры позволят минимизировать риски утечки ПДн при их передаче.

4️⃣ Соблюдение требований к трансграничной передаче
При передаче ПДн на территорию иностранного государства надо не забыть:

• до начала передачи ПДн направить в РКН уведомление о намерении осуществлять трансграничную передачу ПДн;
• провести оценку соблюдения иностранным лицом конфиденциальности и обеспечения безопасности ПДн;
• дождаться решения РКН (если страна не обеспечивает адекватную защиту прав субъектов ПДн);
• в случае получения запрета или ограничения на передачу, компания должна обеспечить уничтожение иностранным лицом ранее переданных им ПДн.

Соблюдение указанных мер поможет снизить риски при передаче ПДн третьим лицам.

#Privacy
Please open Telegram to view this post
VIEW IN TELEGRAM