Сбер опубликовал подборку рекомендаций для операторов ПДн. Я давно похоронил для себя тему с ПДн ⚰️, но не их техническую защиту. Поэтому я посмотрел два документа из представленных - по защите ПДн и по уведомлению об инцидентах с ними, и могу кое-что по ним сказать. Как по мне, так в рекомендациях много теории, - на практике, половина из описанного в вводной части не реализуется, а то, что написано на оставшихся слайдах требует пояснений и комментариев, так как на практике там огромное количество нюансов. Но в любом случае, я в одном чатике по прайваси это расписал, повторю и у себя:
1⃣ Нарушена последовательность при оценке актуальных угроз. Сначала упоминается необязательная методика ФСТЭК, носящая рекомендательный характер для всех, кроме госов, а определение актуальных угроз по ПП-1119 указано только после. Хотя логика при разработке ПП-1119 была иная. Сначала вы определяете уровень защищенности, от которого будут зависеть защитные меры в базовом наборе. Если для вас актуальны какие-то особые угрозы или вы не хотите базовый уровень защиты, то тогда вам надо уже идти в сторону методики ФСТЭК и углубляться в детали. Хотя сама методика сегодня нерабочая с практической точки зрения.
2⃣ Уровень защищенности определяется не по результатам сбора и анализа исходных данных, указанных в отчете об обследовании. Это избыточно. ПП-1119 прямолинейно и требует всего 4 показателей - чьи ПДн, сколько их, какие они и какой тип угрозы. Все. Для этого нет смысла городить отдельное обследование, которое в крупных организациях к моменту завершения уже становится неактуальным (если следовать странице 8). Ну и 13-я страница это подтверждает.
3⃣ Список видов оценки соответствия неполный. Декларирование соответствия в ИБ отсутствует, добровольная оценка не работает (таких систем на практике уже не существует). Не упомянуто, что сертификация не является обязательной для защиты ПДн (даже с учетом ПП-330).
4⃣ Не упомянута такая прекрасная норма 21-го приказа, что базовый набор защитных мер - это не тоже самое, что минимальный и список защитных мер можно и нужно подстраивать под себя; и что можно даже из базового набора исключать какие-то меры.
5⃣ Не упомянуто, что именно для госов сертификация средств защиты является обязательной, но тогда и сама защиты должна быть по 17-му, а не 21-му приказу. 524-й приказ ФСБ по защите ГИС вообще не упомянут.
6⃣ Оценка соответствия для госов - это всегда аттестация; для коммерсов - в любой форме, например, аудит. Но самое главное, что не упомянуты практические мероприятия по оценке защищенности, например, тесты на проникновения. А они обязательны для тех же госов (а сейчас Минцифры и вовсе уже на BugBounty засматривается).
7⃣ Отличия в информировании ФСБ России (НКЦКИ) зависят не от того, были компании присоединены к ГосСОПКЕ до 01.03.2023 или нет, а являются они субъектами КИИ или не являются.
8⃣ Часть из требований упомянутых НПА вообще не реализуема на практике и даже их авторы не реализуют их.
9⃣ Не хватает раздела о правоприменении в области защиты информации и описании ответственности за невыполнение описанных мер, чтобы все встало на свои места. Я не призываю не выполнять требования законодательства, но это в теории нет разницы между практикой и теорией, а на практике она есть.

📱 Оформляйте документы на недвижимость через Госуслуги

На Госуслугах теперь можно зарегистрировать право собственности на недвижимость, если данные о ней уже есть в ЕГРН. Либо отправить недостающие сведения, если вы подавали заявление в МФЦ или онлайн, но допустили ошибку или предоставили не все документы.

❗️Чтобы защитить имущество от мошеннических сделок, на Госуслугах можно наложить запрет на любые действия с недвижимостью без вашего личного участия.

Как зарегистрировать собственность на новую недвижимость:
➖ в услуге «Кадастровый учёт» выберите раздел «Возникновение права на недвижимость»
➖ укажите вид собственности, которую вы хотите зарегистрировать и выберите объект недвижимости
➖ укажите сведения из ЕГРН, например, кадастровый номер или адрес и площадь. Если этих сведений нет, зарегистрировать собственность не получится
➖ подпишите заявление с помощью приложения «Госключ»

❗️ Заявление на кадастровый учёт с одновременной регистрацией прав пока можно подать только в МФЦ. Но дополнительные данные к заявлению можно также отправить с помощью услуги «Кадастровый учёт».

Когда можно подавать дополнительные документы:
➖ в одном из документов была ошибка
➖ документ не прикрепился к заявлению при первой подаче
➖ регистратор попросил прислать дополнительный документ
➖ в случае приостановления государственного кадастрового учёта или регистрации прав
➖ если есть ограничения на сделки с недвижимостью

Дополнительные документы автоматически добавятся к ранее отправленным. Подписать заявление можно с помощью мобильного приложения «Госключ».

➡️ Подать документы в Росреестр

@mintsifry #госуслуги

Англичане хотят ввести запрет не только на шифрование «точка-точка», активно используемое в мессенджерах, но и на выпуск вендорами патчей к уязвимостям, так как это может помешать программам слежки 🔎

Следующим шагом будет требование внедрять закладки в свои продукты для облегчения борьбы с терроризмом, экстремизмом и защиты детей 😎 Наверное...