Вопрос:
Какие есть рекомендации по обеспечению информационной безопасности цепочки поставок?
Ответ:
Уязвимости в цепочке могут привести к серьезным последствиям: компьютерным атакам, нарушению процессов, несанкционированному доступу к информации и финансовым потерям. Для минимизации рисков важно использовать комплексный подход к управлению безопасностью цепочки поставок на всех этапах и для всех задействованных в лиц.
Для обеспечения безопасности цепочки поставок рекомендуется проводить следующие мероприятия:
1️⃣ Провести анализ цепочки поставок и определить риски
Следует проанализировать свою цепочку поставок и найти слабые места, которые могут стать целью атак.
2️⃣ Провести проверку всех участников цепочки поставок
Необходимо проверить участников на их соответствие требованиям в области ИБ, в особенности обратить внимание на лиц, которые признаны уязвимыми к атакам по результатам анализа.
3️⃣ Ограничить доступы
Для участников должен предоставляться доступ только к необходимым данным. Рекомендуется сегментировать сети для минимизации ущерба в случае атаки.
4️⃣ Провести обучение
Обучение собственного персонала и сотрудников поставщиков поставок позволит им оперативно реагировать на киберугрозы и снизит вероятность возникновения таких угроз.
5️⃣ Проводить мониторинг активности
Следует организовать мониторинг активности в сети, на рабочих местах и серверах компании.
6️⃣ Регулярно перепроверять поставщиков
Необходимо на постоянной основе оценивать риски для каждого партнёра и сегмента цепочки с целью выявления, анализа и устранения потенциальных рисков.
7️⃣ Разработать планы и процедуры на случай инцидента
Следует подготовить план реагирования и план непрерывности деятельности. В плане реагирования необходимо определить порядок действий на случай инцидента, а в плане непрерывности деятельности – порядок обеспечения непрерывности процессов.
#ИБ
#ПолезноЗнать
Какие есть рекомендации по обеспечению информационной безопасности цепочки поставок?
Ответ:
Уязвимости в цепочке могут привести к серьезным последствиям: компьютерным атакам, нарушению процессов, несанкционированному доступу к информации и финансовым потерям. Для минимизации рисков важно использовать комплексный подход к управлению безопасностью цепочки поставок на всех этапах и для всех задействованных в лиц.
Для обеспечения безопасности цепочки поставок рекомендуется проводить следующие мероприятия:
Следует проанализировать свою цепочку поставок и найти слабые места, которые могут стать целью атак.
Необходимо проверить участников на их соответствие требованиям в области ИБ, в особенности обратить внимание на лиц, которые признаны уязвимыми к атакам по результатам анализа.
Для участников должен предоставляться доступ только к необходимым данным. Рекомендуется сегментировать сети для минимизации ущерба в случае атаки.
Обучение собственного персонала и сотрудников поставщиков поставок позволит им оперативно реагировать на киберугрозы и снизит вероятность возникновения таких угроз.
Следует организовать мониторинг активности в сети, на рабочих местах и серверах компании.
Необходимо на постоянной основе оценивать риски для каждого партнёра и сегмента цепочки с целью выявления, анализа и устранения потенциальных рисков.
Следует подготовить план реагирования и план непрерывности деятельности. В плане реагирования необходимо определить порядок действий на случай инцидента, а в плане непрерывности деятельности – порядок обеспечения непрерывности процессов.
#ИБ
#ПолезноЗнать
Please open Telegram to view this post
VIEW IN TELEGRAM
CISO & DPO news #46 (17-24 октября 2024 года)
1/8 В коде Android- и iOS-приложений найдены учётные данные в открытом виде.
2/8 Опубликованы «вредные советы» по ИБ для разработчиков ПО.
3/8 Обнаружена активность хакерской группы Crypt Ghouls в РФ.
4/8 Исправлены критичные уязвимости в продуктах Atlassian.
5/8 Замечен рост информированности граждан в отношении биометрических технологий.
6/8 Опубликованы результаты проверки Управления Роскомнадзора по Тюменской области.
7/8 Граждане смогут предоставить биометрические данные в ЕБС через приложения банков.
8/8 Роскомнадзор предложил создать стандарты работы с персональными данными.
1/8 В коде Android- и iOS-приложений найдены учётные данные в открытом виде.
2/8 Опубликованы «вредные советы» по ИБ для разработчиков ПО.
3/8 Обнаружена активность хакерской группы Crypt Ghouls в РФ.
4/8 Исправлены критичные уязвимости в продуктах Atlassian.
5/8 Замечен рост информированности граждан в отношении биометрических технологий.
6/8 Опубликованы результаты проверки Управления Роскомнадзора по Тюменской области.
7/8 Граждане смогут предоставить биометрические данные в ЕБС через приложения банков.
8/8 Роскомнадзор предложил создать стандарты работы с персональными данными.
Какие способы минимизации рисков передачи персональных данных третьим лицам могут применять компании?
Anonymous Quiz
12%
Техническая защита данных (шифрование, контроль доступа, анонимизация и т.д.)
0%
Предварительная проверка контрагентов и условия конфиденциальности в договоре
0%
Оценка конфиденциальности персональных данных
88%
Все перечисленные меры
Media is too big
VIEW IN TELEGRAM
25 октября Роман Мартинсон, руководитель направления по оказанию услуг в области персональных данных Kept, принял участие в Евразийском конгрессе по защите данных (EDPC). В рамках дискуссии Роман рассказал о преимуществах привлечения внешних консультантов при решении задач в области приватности.
Запись полной версии дискуссии доступна по ссылке.
Запись полной версии дискуссии доступна по ссылке.
В России требования к защите персональных данных (далее – ПДн) при их передаче третьим лицам регулируется Федеральным законом № 152-ФЗ «О персональных данных» и рядом других нормативно-правовых актов. Помимо законодательно установленных требований, для минимизации рисков передачи ПДн следует применять следующие меры:
1️⃣ Предварительная проверка контрагента
Перед передачей ПДн рекомендуется запросить у потенциального контрагента информацию о реализованной у него системе обеспечения безопасности информации. Это можно сделать несколькими способами:
• получить сертификаты соответствия системы защиты требованиям международных стандартов (ISO / IEC 27001, ISO / IEC 27701);
• попросить заполнить чек-листы с описанием реализованных в компании организационных и технических мер защиты;
• получить независимое заключение об эффективности системы внутренних контролей – в виде отчетов SOC 2 или SOC 3;
• запросить результаты тестирования на проникновение;
• провести интервью со специалистами компании в области ИБ и пр.
2️⃣ Положения о защите ПДн в договоре с контрагентом
Необходимо включить в договор или соглашение с контрагентом положения, которые предусматривают меры защиты ПДн. Например, обязательства по обеспечению конфиденциальности ПДн, правила уведомления об инцидентах, требования об обеспечении правовых оснований при уничтожении или передаче ПДн по окончанию обработки. В случае поручения обработки ПДн контрагенту, необходимо учесть требования к поручению.
Также рекомендуется проводить периодический аудит контрагента на предмет соблюдения требований договора / поручения в части обработки и обеспечения безопасности ПДн.
3️⃣ Обеспечение защиты ПДн
Чтобы обеспечить защиту предаваемых ПДн, можно использовать шифрование, анонимизацию, защищенные протоколы передачи, двухстороннюю аутентификацию и др. Данные меры позволят минимизировать риски утечки ПДн при их передаче.
4️⃣ Соблюдение требований к трансграничной передаче
При передаче ПДн на территорию иностранного государства надо не забыть:
• до начала передачи ПДн направить в РКН уведомление о намерении осуществлять трансграничную передачу ПДн;
• провести оценку соблюдения иностранным лицом конфиденциальности и обеспечения безопасности ПДн;
• дождаться решения РКН (если страна не обеспечивает адекватную защиту прав субъектов ПДн);
• в случае получения запрета или ограничения на передачу, компания должна обеспечить уничтожение иностранным лицом ранее переданных им ПДн.
Соблюдение указанных мер поможет снизить риски при передаче ПДн третьим лицам.
#Privacy
Перед передачей ПДн рекомендуется запросить у потенциального контрагента информацию о реализованной у него системе обеспечения безопасности информации. Это можно сделать несколькими способами:
• получить сертификаты соответствия системы защиты требованиям международных стандартов (ISO / IEC 27001, ISO / IEC 27701);
• попросить заполнить чек-листы с описанием реализованных в компании организационных и технических мер защиты;
• получить независимое заключение об эффективности системы внутренних контролей – в виде отчетов SOC 2 или SOC 3;
• запросить результаты тестирования на проникновение;
• провести интервью со специалистами компании в области ИБ и пр.
Необходимо включить в договор или соглашение с контрагентом положения, которые предусматривают меры защиты ПДн. Например, обязательства по обеспечению конфиденциальности ПДн, правила уведомления об инцидентах, требования об обеспечении правовых оснований при уничтожении или передаче ПДн по окончанию обработки. В случае поручения обработки ПДн контрагенту, необходимо учесть требования к поручению.
Также рекомендуется проводить периодический аудит контрагента на предмет соблюдения требований договора / поручения в части обработки и обеспечения безопасности ПДн.
Чтобы обеспечить защиту предаваемых ПДн, можно использовать шифрование, анонимизацию, защищенные протоколы передачи, двухстороннюю аутентификацию и др. Данные меры позволят минимизировать риски утечки ПДн при их передаче.
При передаче ПДн на территорию иностранного государства надо не забыть:
• до начала передачи ПДн направить в РКН уведомление о намерении осуществлять трансграничную передачу ПДн;
• провести оценку соблюдения иностранным лицом конфиденциальности и обеспечения безопасности ПДн;
• дождаться решения РКН (если страна не обеспечивает адекватную защиту прав субъектов ПДн);
• в случае получения запрета или ограничения на передачу, компания должна обеспечить уничтожение иностранным лицом ранее переданных им ПДн.
Соблюдение указанных мер поможет снизить риски при передаче ПДн третьим лицам.
#Privacy
Please open Telegram to view this post
VIEW IN TELEGRAM