В России планируется организация фонда материальной компенсации для граждан, пострадавших от утечек данных. В качестве финансирования будут выступать штрафы, наложенные на компании за допущение утечки.

В Минцифры сообщили, что механизм компенсаций находится в разработке. «Нужно определить, как будет высчитываться объем, при каких условиях можно будет претендовать на выплаты, другие детали», — уточнили в министерстве.

Новость омрачается тем, что в российском законодательстве нет указаний – что можно считать утечкой персональных данных, какой регулятор и по каким критериям оценивает масштаб утечки – и как выявлять ответственных.

В связи с этим, IT-представители компаний отмечают: «создание фонда в любом случае — шаг вперёд, при этом компенсация должна зависеть от реального или потенциального ущерба пользователя, но определить его бывает сложно, и практики для ориентира сейчас нет».

Читайте подробнее в материале.

#персданные

До 1 сентября и вступления в силу изменений в закон о персданных остаётся 10 дней, и регуляторы выпускают дополнительные проекты нормативных актов. Поговорим о вышедших буквально сутки назад.

Представлен проект приказа РКН «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, о внесении изменений в ранее представленные сведения, о прекращении обработки персональных данных».

Проект приказа закрепляет новую форму уведомления об обработке персданных и изменений в уже поданное уведомление.

Подробнее читайте здесь.


Сформулированы требования к подтверждению уничтожения персональных данных.

Данный проект приказа регламентирует порядок процедуры уничтожения персданных.

Ранее последовательность уничтожения ПДн не была регламентирована.
Теперь нельзя лишь удалить субъекта персданных, например из 1С или битрикса. Необходим дополнительный контроль за ведением баз данных, содержащий ПДн.

Подробнее об этом говорим здесь.

#персданные

Требования регуляторов ужесточаются.

С 1 сентября 2022 года Федеральный закон № 266-ФЗ (О внесении изменений в ФЗ "О персональных данных") вступает в силу.

Нововведения также повлияли на аттестацию информационных систем.

О порядке её проведения, о том, для кого она обязательна – и как не попасться на маркетинговые уловки сервисных компаний – говорим в материале.

#персданные #инфобез #полезное

Ведомство считает, что реестр повысит осведомлённость руководителей по ИБ организаций, на которых ложится персональная ответственность за обнаружение кибератак и ликвидацию последствий.

Минцифры уточнило, что представленные в рамках сбора данных документы и отчёты компаний сильно разнились в понимании использования информационной безопасности. Присланные ИБ-руководителями компаний материалы показали необходимость в систематизации и категоризации перечня недопустимых событий и киберугроз. Специалисты ведомства планируют создать первую версию этого реестра до конца года. Перечень угроз и нарушений по ИБ от Минцифры будет опубликован в открытом доступе.

На сегодняшний день, полномочия по ведению перечня угроз и уязвимостей есть только у ФСТЭК России и находится здесь.

Подробнее об этом говорим здесь.

#инфобез

Помимо нововведений в закон о персданных, которые активно обсуждаются в течение августа, вышло постановление об изменениях в правилах категорирования критических информационных инфраструктур.

Ввиду остроты темы информационной безопасности, и чтобы не утонуть в потоке информации, четко и по делу пишет наш партнёр https://news.1rj.ru/str/bureaucraticsecurity

Читайте и подписывайтесь, если вам интересна тема информационной безопасности.

Недавно мы писали о том, что Минцифры планирует выплату компенсаций жертвам утечек данных.

Было высказано мнение о том, что создание фонда – значительный шаг вперёд, однако непонятны критерии оценки ущерба субъекту персданных.

Опубликован проект приказа Роскомнадзора "Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона
«О персональных данных»". Дата окончания публичного обсуждения проекта: 21.09.2022.

Также выпущены нововведения в закон о персданных, который вступит в силу 1 сентября.

✅Кратко:
Сокращён перечень тех, кто может не подавать уведомление в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.

Подробнее о нововведениях и "подводных камнях" говорим здесь.

#инфобез #персданные

Говорим о тенденциях ИТ-рынка за последние полгода.
На что сейчас обратить внимание, а что стоит поставить на паузу, о спросе и технологиях последующих 2-10 лет читайте в материале.

#заметкитехдира #бизнес_ИТ #полезное

31 августа РКН опубликовал информационное сообщение о порядке уведомления об обработке персональных данных.

РКН информирует о порядке уведомления о начале или осуществлении любой обработки персональных данных – в соответствии с вступающими с 01.09.2022 изменениями в закон «О персональных данных».

Особое внимание следует обратить на то, что:

✅01.09.2022 не является крайним сроком подачи уведомления об обработке персональных данных.

✅До утверждения новых форм оператор вправе заполнить форму уведомления об обработке персональных данных на Портале персональных данных РКН или направить такое уведомление в адрес территориального управления ведомства по месту регистрации оператора на бумажном носителе.

Оформить электронное уведомление можно здесь

#персданные

Отток ИТ-специалистов за рубеж обострил дефицит кадров на рынке. При этом, в условиях санкций, потребность в квалифицированных кадрах стоит особенно остро.

Как поддерживать стабильную работу ИТ-систем и масштабироваться, при этом сэкономив ресурсы и не перегружая действующих специалистов, говорим в материале.

#бизнес_ИТ #полезное

Минцифры опубликовало предложение о создании реестра согласий на обработку персональных данных.
У граждан появится возможность отзывать их через Госуслуги.

Что это значит?
При получении различных услуг в госорганах, банках, организациях и т.д., граждане дают согласие на обработку ПДн. На Госуслугах появится возможность для отзыва таких согласий.

Пользователи смогут:

✔Видеть все отданные согласия на обработку своих ПДн, кому и когда они были представлены;
✔Видеть состав ПДн, которые хранятся в этих организациях;
✔Отзывать согласия;
✔Контролировать удаление своих персональных данных.

«Вероятно, в случае реализации предложения, граждане будут оставлять заявки на удаление своих ПДн в реестре на Госуслугах. После чего, Минцифра будет осведомлять операторов ПДн (например, бизнес) и требовать удаления ПДн в конкретные сроки. Затраты на удаление ПДН, ожидаемо, лягут на операторов персональных данных» -
Вероника Нечаева - директор департамента Информационной Безопасности CORTEL.

В июле мы публиковали чек-лист, где поэтапно рассказали о том, как выполнить требования по персданным в связи с выходом Федерального закона от 14.07.2022 № 266-ФЗ "О внесении изменений в Федеральный закон "О персональных данных".

1 сентября 2022 года закон вступил в силу.
О том, какие обновления вышли к 7 сентября, что важно учесть – и как не попасть под штрафные санкции, рассказали в посте.

✔Там же размещены:
- текст № 152-ФЗ с обновлениями и изменениями
- файл, в котором размещена информация об ответственности за его несоблюдение.

#инфобез #персданные #полезное

Санитизация данных - новое понятие, которое Минэкономразвития ввело в рамках поправок к закону “Об информации”, регулирующего работу национальной системы управления данными.

Санитизированные данные – это:
– персональная информация, изменённая настолько, что невозможно установить её принадлежность конкретному лицу;
– информация, относящаяся к тайне связи, налоговой, банковской тайне и т.д., из которой извлечены все конфиденциальные данные, которым необходима защита.

Что это значит для бизнеса?

Закон имеет сквозное регулирование, поэтому в рамках его изменений ведётся разработка специальных технологий и алгоритмов санитизации по каждому виду информации
– для государства;
– для бизнеса.

По логике изменений, если данные будут храниться в НСУД, то санитизацией будет заниматься эта система, а если данные принадлежат бизнесу, процедуру проводят сами компании.

«ДОМ.РФ» начал внедрять возможность оформления ипотеки с помощью Единой биометрической системы. До конца 2022 года планируется провести первую сделку по покупке жилья с использованием технологии, а начать её повсеместное внедрение – в 2023 году.

Такая возможность значительно упрощает процедуру получения ипотеки. Для того, чтобы воспользоваться услугой, будет необходимо авторизоваться с помощью учётной записи на “Госуслугах” и пройти проверку в ЕБС.

Перед тем, как проходить проверку, необходимо зарегистрироваться в Единой биометрической системе. Сдать данные можно в отделении Ростелекома, предъявив паспорт и СНИЛС.

#бизнес_ИТ

7 сентября Group-IB опубликовали отчёт, в котором сообщили о рекордном количестве утечек баз данных российских компаний за лето 2022 года. Их число выросло в 2 раза по сравнению с весной.

В сети оказалось 140 баз, причём 100 из них были опубликованы в августе. Для сравнения – за всю весну их было 73.

По оценкам экспертов Group-IB, общее количество строк составило 304 миллиона. Целью по-прежнему был не заработок, а нанесение максимального ущерба бизнесу и его клиентам.

Интересно, что злоумышленники “сливают” не только данные крупных российских компаний различных секторов экономики, но и базы небольших сайтов, магазинов и ресторанов.

Подробнее об отчёте, а также о результатах исследования относительно исполнения новых требований Федерального закона от 14.07.2022 № 266-ФЗ по защите персональных данных говорим здесь.

#утечки

Все ключевые ИС станут КИИ?
Результаты стратегической сессии правительства РФ от 13 сентября

В рамках стратегической сессии «Об импортозамещении ПО в отраслях», премьер-министр Михаил Мишустин заявил, что Правительство РФ планирует отнести все ключевые типы информационных систем к объектам КИИ. По его словам, эти меры нужны для того, чтобы ускорить переход организаций на отечественное программное обеспечение.

Напомним, что деятельность КИИ отдельно регулируется Федеральным законом от 26 июля 2017 г. N 187-ФЗ.

1 мая 2022 года закон ужесточили. Теперь не только отдел безопасности, но и сам руководитель организации должен нести персональную ответственность за обеспечение информационной безопасности.

Это значит, что уже сейчас организациям необходимо:
– Задуматься над вопросом внедрения отечественных аналогов и предпринимать первые действия;
– Изучить требования к КИИ .

Подробнее о нововведениях читайте здесь.

#бизнес_ИТ

Конференция PGConf.Сибирь 2022 от Postgres Pro

Доклады от экспертов международного уровня и высококвалифицированных специалистов по СУБД PostgreSQL:

✅Postgres Professional:
«PostgreSQL 15 и не только»
«Postgres от начала веков и до наших дней»
«Отказоустойчивость - с чем ее едят?»
«Вся правда о мульти-мастере»

✅Инфософт:
«1C ERP 400 пользователей на PostgreSQL»

✅Data Driven lab:
«Как отсутствие места на диске сломало нам кластер PostgreSQL»

✅2Gis:
«PostgreSQL в гетерогенной инфраструктуре»

✅Газпромнефть:
«Ещё один взгляд на опыт оптимизации PostgreSQL»

✔️ Лекция о генетике:
Владимир Трифонов (Профессор РАН, доктор биологических наук) с докладом «Геномный взгляд на эволюционный прогресс»

Участники смогут задать вопросы и пообщаться в неформальной обстановке на кофе-брейках и фуршете.

Ждем вас 24 октября 2022 в 10:00
г. Новосибирск, конференц-зал «Горский»

Подробная информация о докладах, спикерах и регистрации тут.

С каждым днём вопрос информационной безопасности усложняется новыми требованиями регуляторов

Если вам интересна эта тема, вы хотите разобраться и понять, что делать дальше и как за всем успеть, рекомендуем подписаться на канал нашего партнёра https://news.1rj.ru/str/bureaucraticsecurity

Примеры освещённых тем:
– ​​Реформа 152-ФЗ | проекты подзаконников от Правительства
– Разъяснения РКН о том, относится ли фотография гражданина к биометрическим персональным данным.
– Все задачи, которые должны быть реализованы в соответствии с 250-м Указом и подзаконными актами

Рекомендуем ознакомиться всем, кому интересна тема информационной безопасности.

3 года назад конкуренты одного из крупнейших e-commers организовали DDoS-атаку на web-сервисы компании.
Работа прервалась, компания потеряла прибыль.

Встал вопрос о защите и обеспечении непрерывности работы сервисов.

Как выстроить архитектуру защиты для обеспечения SLA 99,999% - рассказали здесь.

#кейсы