​​⚡️Изменения в 152-ФЗ | Реформа

Официально опубликован Федеральный закон от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон "О персональных данных", отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона "О банках и банковской деятельности».

Какие нововведения нам приготовлены:

1. Экстерриториальность 152-ФЗ.

2. Обязательность согласования с РКН нормативных правовых актов, которые принимают государственные органы, Банк России, органы местного самоуправления и регулирующих отношения, связанные с осуществлением трансграничной передачи ПДн, обработкой специальных категорий ПДн, биометрических ПДн, ПДн несовершеннолетних, предоставлением, распространением ПДн, полученных в результате обезличивания.

3. Дополнительные особенности поручения обработки ПДн.

4. Вводится запрет операторам ПДн отказывать в обслуживании в случае несогласия субъекта ПДн предоставить свои ПДн (в т.ч. биометрические).

5. Обширные корректировки, касающиеся трансграничной передачи ПДн:
• уведомление РКН;
• взаимодействие с органами власти иностранного государства, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача персональных данных;
• возможность запрета РКН трансграничной передачи ПДн.

6. Некоторые особенности по срокам и форме предоставлению субъекту ПДн информации, касающейся обработки его ПДн.

7. Прямой запрет операторам ПДн в своих локальных актах по выполнению 152-ФЗ отражать положения:
• ограничивающие права субъектов ПДн;
• направленные на осуществление оператором ПДн не предусмотренных законодательством Российской Федерации полномочий и обязанностей.

8. РКН должен будет установить требования по оценке вреда, который может быть причинен субъектам ПДн в случае нарушения 152-ФЗ.

9. Обязанность операторов ПДн взаимодействовать с ГосСОПКА в порядке, определённом ФСБ России.

10. Обязанность операторов ПДн информировать ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.

11. Взаимная обязанность ФСБ России и РКН передавать друг другу информацию о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПДн (ведомства определят соответствующий порядок взаимодействия).

12. РКН будет вести реестр учета инцидентов в области ПДн, а также определит порядок взаимодействия с операторами ПДн в рамках его ведения.

13. Установлена обязанность оператора ПДн по уведомлению РКН о факте(ах) неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшего(их) нарушение прав субъектов персональных данных, с момента выявления такого инцидента (24 часа - о самом инциденте, 72 часа - о результатах внутреннего расследования по такому инциденту).

14. Сокращены сроки отработки обращений субъектов ПДн.

15. Добавлены некоторые условия прекращения обработки ПДн при обращении субъекта ПДн.

16. РКН должен установить требования по подтверждению уничтожения ПДн.

17. Обрабатывать ПДн без уведомления РКН становится почти невозможно.

18. Изменяются требования к наполнению уведомления о намерении осуществлять обработку ПДн.

19. Появилось требование по отдельному указанию в уведомлении о намерении осуществлять обработку ПДн информации, для каждой цели обработки ПДн:
• категории ПДН;
• категории субъектов, ПДн которых обрабатываются;
• правовое основание обработки ПДн;
• перечень действий с ПДн;
• способы обработки ПДн.

20. Добавились сроки информирования РКН о корректировке данных, ранее полученных с уведомлением о намерении осуществлять обработку ПДн, и об исключении из реестра операторов ПДн.

21. Некоторые корректировки статуса РКН, направленные на:
• придание ему большей самостоятельности;
• обеспечение возможности вносить в Правительство Российской Федерации предложения не только о совершенствовании нормативного правового регулирования защиты прав субъектов ПДн, но и деятельности по обработке ПДн.

https://www.nccoe.nist.gov/get-involved/attend-events/nccoe-learning-series-trusted-cloud-and-hardware-enabled-security

NCCoE Learning Series: Trusted Cloud and Hardware Enabled Security

Вебинар July 28, 2022 по вышедшим в апреле документам NIST по аппаратной безопасности облаков.

https://cloudsecurityalliance.org/artifacts/sensitive-data-in-the-cloud/

Результаты опроса CSA 450 человек по размещению конфиденциальной информации в облаке.

Пора возвращаться к исходной цели создания блога - писать про ИБ с точки зрения бизнеса, а не вот это вот все ;-) Начнем с customer journey map и ее применения в целях ИБ. Это будет серия заметок

#privacy #events

Когда: 25 июля в 18:30 (по мск)
Где: онлайн
Тема: New 152-ФЗ? Что. Кому. И как
Спикеры: Алексей Мунтян, Анастасия Петрова, Роман Мартинсон, Екатерина Басниева, Артём Дмитриев, Борис Покровский
Организатор: RPPA.ru
Язык: русский
Стоимость: бесплатно
Трансляция: здесь

💬Программа

18:30 - 18:35 Открытие, Алексей Мунтян, Кристина Боровикова, RPPA
18:35 - 18:50 Практическое значение поправок для бизнеса, Анастасия Петрова, Советник, АЛРУД
18:50 - 19:05 Обзор Изменений, Роман Мартинсон, Екатерина Басниева, Старшие консультанты, Cybersecurity и Privacy, Kept
19:05 - 19:10 Обзор результатов опроса, Артём Дмитриев, Comply
19:10 - 19:40 Дискуссия, Модератор: Алексей Мунтян, Спикеры: все, а также Борис Покровский, юрисконсульт, Яндекс

Я думаю, что сегодня все понятно просто по стартовой картинке =)

Да, оказывается уже есть OWASP Kubernetes Top 10! Проект молодой и еще не до конца доделанный - на текущие момент описано 7 или 10 пунктов (хотя и у тех 7 внутри не все еще готово). По задумке авторов каждый из пунктов состоит из разделов:
- Overview
- Denoscription
- How to Prevent
- Example Attack Scenarios
- References

Сам рейтинг:
K01:2022 Insecure Workload Configurations
K02:2022 Supply Chain Vulnerabilities
K03:2022 Overly Permissive RBAC Configurations
K04:2022 Lack of Centralized Policy Enforcement
K05:2022 Inadequate Logging and Monitoring
K06:2022 Broken Authentication Mechanisms
K07:2022 Missing Network Segmentation Controls
K08:2022 Secrets Management Failures
K09:2022 Misconfigured Cluster Components
K10:2022 Outdated and Vulnerable Kubernetes Components

Какое мое мнение по этому рейтингу? Напишу в завтрашнем посте ;)

При роботизации Риски ИБ могут иметь физические проявления https://tass.ru/sport/15280405

͏Atlassian исправила критическую уязвимость, связанную с жестко запрограммированными учетными данными в приложении Questions For Confluence (версии 2.7.34, 2.7.35 и 3.0.2) для Confluence Server и Confluence Data Center.

По данным Atlassian, приложение установлено на более чем 8000 серверах Confluence.

CVE-2022-26138 возникает, когда приложение установлено и включено в любой из двух служб, что приводит к созданию учетной записи пользователя Confluence с именем disabledsystemuser.

Учетная запись disabledsystemuser создается при установке приложения с жестко заданным паролем и добавляется в группу пользователей confluence, что по умолчанию позволяет просматривать и редактировать все неограниченные страницы в Confluence.

Удаленный злоумышленник, не прошедший проверку подлинности и знающий жестко закодированный пароль, может воспользоваться ошибкой, чтобы войти в Confluence и получить доступ к любым страницам.

В Atlassian не располагают информацией об использовании уязвимости в дикой природе, правда с оговоркой: «пока что».

Все дело в том, что жестко закодированный пароль легко получить после загрузки и просмотра уязвимых версий приложения.

Администраторам следует обратить внимание, что удаление приложения Questions for Confluence не устраняет уязвимость и вектор атаки.

Для понимания потенциальных угроз следует проверить наличие проблемной учетной записи пользователя disabledsystemuser, а также возможную несанкционированную аутентификацию, следуя этим инструкциям.

Учетную запись можно удалить, но лучше всего накатить обновления. Исправленная версия приложения прекратит создание проблемной учетной записи пользователя и удалит ее, если она есть.