Согласно ст. 11 152-ФЗ к биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.
Фотография лишь в некоторых случаях будет являться биометрическими персональными данными:
• Фотография, сделанная в соответствии с требованиями ГОСТ Р ИСО / МЭК 19794-5-2013
• Изображение лица человека, использующееся с данными голоса в целях аутентификации и идентификации в Единой биометрической системе
Потоковая видеозапись, не предусматривающая идентификацию / аутентификацию, не является биометрическими персональными данными. Но если данные были предварительно получены от конкретного субъекта ПДн, оцифрованы, записаны и используются оператором для идентификации / аутентификации, то их можно отнести к биометрическим.
#Privacy
Фотография лишь в некоторых случаях будет являться биометрическими персональными данными:
• Фотография, сделанная в соответствии с требованиями ГОСТ Р ИСО / МЭК 19794-5-2013
• Изображение лица человека, использующееся с данными голоса в целях аутентификации и идентификации в Единой биометрической системе
Потоковая видеозапись, не предусматривающая идентификацию / аутентификацию, не является биометрическими персональными данными. Но если данные были предварительно получены от конкретного субъекта ПДн, оцифрованы, записаны и используются оператором для идентификации / аутентификации, то их можно отнести к биометрическим.
#Privacy
👍10
Если организация относится к субъектам КИИ (см. Применимость законодательства КИИ), то ей необходимо начать процедуру категорирования объектов КИИ.
Организациям, функционирующим в сферах, указанных в ст. 2 187-ФЗ, следует создать постоянно действующую комиссию по категорированию объектов КИИ (Комиссия).
Согласно п. 11 Постановления Правительства № 127, в состав Комиссии должны входить:
· Руководитель или уполномоченное им лицо
· Специалисты в области основных видов деятельности
· Специалисты в области ИТ, связи
· Специалисты по ИБ
При наличии штатных должностей в состав Комиссии должны входить:
· Специалисты по эксплуатации тех. оборудования
· Специалисты по промбезопасности
· Специалисты по контролю за опасными веществами
· Специалисты по защите гостайны
· Специалисты по ГО и ЧС
Руководитель организации может включать в состав Комиссии иных работников, а также создавать отдельные Комиссии на уровне филиалов.
#КИИ
#ПолезноЗнать
Организациям, функционирующим в сферах, указанных в ст. 2 187-ФЗ, следует создать постоянно действующую комиссию по категорированию объектов КИИ (Комиссия).
Согласно п. 11 Постановления Правительства № 127, в состав Комиссии должны входить:
· Руководитель или уполномоченное им лицо
· Специалисты в области основных видов деятельности
· Специалисты в области ИТ, связи
· Специалисты по ИБ
При наличии штатных должностей в состав Комиссии должны входить:
· Специалисты по эксплуатации тех. оборудования
· Специалисты по промбезопасности
· Специалисты по контролю за опасными веществами
· Специалисты по защите гостайны
· Специалисты по ГО и ЧС
Руководитель организации может включать в состав Комиссии иных работников, а также создавать отдельные Комиссии на уровне филиалов.
#КИИ
#ПолезноЗнать
👍10
Европол опубликовал фреймворк, в котором приведено 10 ключевых компетенций для участников борьбы с киберпреступлениями:
· Цифровая криминалистика
· Администрирование и анализ сети
· Программирование и скриптинг для автоматизации задач
· Формирование отчетности и докладов
· Анализ информации и ее визуализация
· Законодательство по ИБ и защите данных
· Понимание основ киберпреступлений
· Узкоспециализированные знания (OSINT, Dark Web, Blockchain, Ethical Hacking и др.)
· Оперативная работа и сбор доказательств на месте киберпреступлений
· Навыки проведения расследований киберпреступлений
Ожидаемый уровень компетенций разнится в зависимости от роли и обязанностей специалиста.
Фреймворк разрабатывался для понимания правоохранительными и судебными органами компетенций, необходимых для эффективного противодействия киберпреступности. Однако он может использоваться и для оценки потребностей обучения специалистов
#ИБ
#Frameworks
· Цифровая криминалистика
· Администрирование и анализ сети
· Программирование и скриптинг для автоматизации задач
· Формирование отчетности и докладов
· Анализ информации и ее визуализация
· Законодательство по ИБ и защите данных
· Понимание основ киберпреступлений
· Узкоспециализированные знания (OSINT, Dark Web, Blockchain, Ethical Hacking и др.)
· Оперативная работа и сбор доказательств на месте киберпреступлений
· Навыки проведения расследований киберпреступлений
Ожидаемый уровень компетенций разнится в зависимости от роли и обязанностей специалиста.
Фреймворк разрабатывался для понимания правоохранительными и судебными органами компетенций, необходимых для эффективного противодействия киберпреступности. Однако он может использоваться и для оценки потребностей обучения специалистов
#ИБ
#Frameworks
👍12🔥4
Вопрос
Для чего нужен аудит ИБ?
Ответ
Строго говоря, понятие аудит в РФ относится только к независимой проверке бухотчетности (ФЗ «Об аудиторской деятельности» № 307-ФЗ). При этом оно широко применяется в отрасли ИБ для обозначения независимых проверок состояния процессов, мер защиты и соответствия требованиям законодательства в области ИБ.
В таком смысле аудит ИБ – независимая проверка системы защиты информации с выявлением слабых мест и областей для развития и подготовкой рекомендаций. В результате компания получает отчет с описанием текущего состояния и рекомендациями по улучшению.
Существуют также сертификационные аудиты по ISO/IEC 27001 и аудиты сервисных организаций SOC 2 и 3. Компания получает заключение уполномоченной организации о состоянии процессов ИБ (сертифицирующего органа или аудиторской компании). Такие проверки являются настоящими аудитами в прямом значении этого слова.
Аудит ИБ позволяет получить объективный взгляд на функцию ИБ и план действий по её улучшению и развитию
#ИБ
Для чего нужен аудит ИБ?
Ответ
Строго говоря, понятие аудит в РФ относится только к независимой проверке бухотчетности (ФЗ «Об аудиторской деятельности» № 307-ФЗ). При этом оно широко применяется в отрасли ИБ для обозначения независимых проверок состояния процессов, мер защиты и соответствия требованиям законодательства в области ИБ.
В таком смысле аудит ИБ – независимая проверка системы защиты информации с выявлением слабых мест и областей для развития и подготовкой рекомендаций. В результате компания получает отчет с описанием текущего состояния и рекомендациями по улучшению.
Существуют также сертификационные аудиты по ISO/IEC 27001 и аудиты сервисных организаций SOC 2 и 3. Компания получает заключение уполномоченной организации о состоянии процессов ИБ (сертифицирующего органа или аудиторской компании). Такие проверки являются настоящими аудитами в прямом значении этого слова.
Аудит ИБ позволяет получить объективный взгляд на функцию ИБ и план действий по её улучшению и развитию
#ИБ
👍10
CISO & DPO news #10 (05-09 февраля 2024 года)
1/9 Выявлена активно эксплуатируемая уязвимость в корпоративном VPN Ivanti.
2/9 Обнаружен новый троян Mispadu, использующий уязвимость Windows SmartScreen.
3/9 Мошенники массово рассылают письма россиянам от известных маркетплейсов.
4/9 Международная компания из Гонконга лишилась $25 млн из-за дипфейков.
5/9 В России вступит в силу запрет на популяризацию VPN.
6/9 Реализованы новые требования для операторов хостинга.
7/9 Разработан законопроект о киберстраховании.
8/9 Опубликована статистика распознавания лиц в общественном транспорте.
9/9 Новые требования для прозрачности обработки персональных данных.
1/9 Выявлена активно эксплуатируемая уязвимость в корпоративном VPN Ivanti.
2/9 Обнаружен новый троян Mispadu, использующий уязвимость Windows SmartScreen.
3/9 Мошенники массово рассылают письма россиянам от известных маркетплейсов.
4/9 Международная компания из Гонконга лишилась $25 млн из-за дипфейков.
5/9 В России вступит в силу запрет на популяризацию VPN.
6/9 Реализованы новые требования для операторов хостинга.
7/9 Разработан законопроект о киберстраховании.
8/9 Опубликована статистика распознавания лиц в общественном транспорте.
9/9 Новые требования для прозрачности обработки персональных данных.
👍12🔥1
Распределенная атака на ИТ-инфраструктуру и сервисы для перегрузки их трафиком и остановки работы — это…
Anonymous Quiz
4%
Фишинговая атака
1%
Атака Man-in-the-Middle
2%
DoS-атака
93%
DDoS-атака
👍2
DDoS-атака - распределенная атака длительного отказа в обслуживании.
Сравнительная сводка целей атак:
• Фишинговая атака - кража личных данных пользователя
• Атака Man-in-the-Middle - перехват информации при коммуникации между двумя сторонами
• DoS-атака – атака отказа в обслуживании из одной сети
Одна из самых мощных DDoS-атак была проведена с помощью крупного ботнета и достигала 665 Гбит/с.
Хакеры использовали для атаки большое количество устройств «Интернет вещей», защищенных слабыми паролями.
Для защиты от DDoS-атак можно:
• Разработать план реагирования на атаки
• Настроить межсетевые экраны
• Мониторить трафик для выявления и устранения аномальных запросов
• Внедрить в сервисы систему CAPTCHA
• Использовать системы защиты от DDoS-атак
• Перейти на надежного хостинг-провайдера
#Атаки
Сравнительная сводка целей атак:
• Фишинговая атака - кража личных данных пользователя
• Атака Man-in-the-Middle - перехват информации при коммуникации между двумя сторонами
• DoS-атака – атака отказа в обслуживании из одной сети
Одна из самых мощных DDoS-атак была проведена с помощью крупного ботнета и достигала 665 Гбит/с.
Хакеры использовали для атаки большое количество устройств «Интернет вещей», защищенных слабыми паролями.
Для защиты от DDoS-атак можно:
• Разработать план реагирования на атаки
• Настроить межсетевые экраны
• Мониторить трафик для выявления и устранения аномальных запросов
• Внедрить в сервисы систему CAPTCHA
• Использовать системы защиты от DDoS-атак
• Перейти на надежного хостинг-провайдера
#Атаки
👍14🤔1
ФСТЭК России на мероприятии «Инфофорум 2024» представил результаты государственного контроля исполнения законодательства в области обеспечения безопасности критической информационной инфраструктуры (КИИ) – выявлено более 800 нарушений. В частности, ФСТЭК России отметил следующие нарушения субъектов КИИ в сфере транспорта:
• не предоставляется перечень объектов КИИ или такой перечень не корректен
• не рассматриваются как возможные объекты КИИ:
▫️светосигнальное оборудование аэропорта
▫️высокоавтоматизированные (автономные) транспортные средства
▫️системы по продаже транспортных билетов
• направляются недостоверные сведения об объектах КИИ
• занижаются категории значимости объектов КИИ
• не настроены антивирусы и не реализовано обновление антивирусных баз
• администрирование значимых объектов КИИ ведется без применения мер защиты информации
• не устраняются уязвимости в ПО
• недостаточный уровень обучения персонала процессам ИБ
• не совершенствуются системы безопасности значимых объектов КИИ
#КИИ
#ПолезноЗнать
• не предоставляется перечень объектов КИИ или такой перечень не корректен
• не рассматриваются как возможные объекты КИИ:
▫️светосигнальное оборудование аэропорта
▫️высокоавтоматизированные (автономные) транспортные средства
▫️системы по продаже транспортных билетов
• направляются недостоверные сведения об объектах КИИ
• занижаются категории значимости объектов КИИ
• не настроены антивирусы и не реализовано обновление антивирусных баз
• администрирование значимых объектов КИИ ведется без применения мер защиты информации
• не устраняются уязвимости в ПО
• недостаточный уровень обучения персонала процессам ИБ
• не совершенствуются системы безопасности значимых объектов КИИ
#КИИ
#ПолезноЗнать
👍11
Вопрос:
Может ли лицо, ответственное за организацию обработки персональных данных (ПДн), не состоять в трудовых отношениях с оператором ПДн?
Ответ:
Да, может.
В 152-ФЗ нет каких-либо требований о том, что лицо, ответственное за организацию обработки ПДн, должно состоять в трудовых отношениях с оператором ПДн.
Для случаев когда на указанную роль назначается работник оператора ПДн, подтверждением такого назначения обычно является приказ по организации.
В остальных случаях это может быть договор гражданско-правового характера или договор с другим юридическим лицом, но с обязательным включением в данный договор требований ст. 22.1 152-ФЗ.
Представители Роскомнадзора согласны с таким подходом.
#Privacy
Может ли лицо, ответственное за организацию обработки персональных данных (ПДн), не состоять в трудовых отношениях с оператором ПДн?
Ответ:
Да, может.
В 152-ФЗ нет каких-либо требований о том, что лицо, ответственное за организацию обработки ПДн, должно состоять в трудовых отношениях с оператором ПДн.
Для случаев когда на указанную роль назначается работник оператора ПДн, подтверждением такого назначения обычно является приказ по организации.
В остальных случаях это может быть договор гражданско-правового характера или договор с другим юридическим лицом, но с обязательным включением в данный договор требований ст. 22.1 152-ФЗ.
Представители Роскомнадзора согласны с таким подходом.
#Privacy
❤10👍4
CISO & DPO news #11 (12-16 февраля 2024 года)
1/9 Представлен отчёт о фишинговых атаках за 2022–2023 годы.
2/9 Разработчики из КубГТУ создали нейросеть, распознающую сообщения от мошенников.
3/9 Российское облако NGcloud получило сертификат PCI DSS 4.0.
4/9 ФСТЭК России рассказал о своих планах на 2024 год
5/9 ФСТЭК России готовит методику оценки показателя обеспечения безопасности КИИ.
6/9 С начала 2024 года в сеть утекло 510 млн записей о россиянах.
7/9 Готовятся новые требования к прозрачности и минимизации сбора персданных.
8/9 Минцифры подготовило новый упрощенный порядок регистрации биометрии.
9/9 Банк России рассматривает возможные варианты страхования ущерба от кибератак.
1/9 Представлен отчёт о фишинговых атаках за 2022–2023 годы.
2/9 Разработчики из КубГТУ создали нейросеть, распознающую сообщения от мошенников.
3/9 Российское облако NGcloud получило сертификат PCI DSS 4.0.
4/9 ФСТЭК России рассказал о своих планах на 2024 год
5/9 ФСТЭК России готовит методику оценки показателя обеспечения безопасности КИИ.
6/9 С начала 2024 года в сеть утекло 510 млн записей о россиянах.
7/9 Готовятся новые требования к прозрачности и минимизации сбора персданных.
8/9 Минцифры подготовило новый упрощенный порядок регистрации биометрии.
9/9 Банк России рассматривает возможные варианты страхования ущерба от кибератак.
👍14