17 января менеджеры группы по оказанию услуг в области кибербезопасности Kept Роман Мартинсон и Ксения Кожушко приняли участие в Конференции RPPA «Образовательные курсы в сфере приватности».
Коллеги представили свою позицию и поучаствовали в обсуждении следующих тем:
• Какие курсы в сфере приватности представлены на рынке?
• Должен ли курс по приватности давать знания только в области права или только в сфере технической защиты данных, или только в области менеджмента?
• Какому количеству компетенций по приватности курс должен обучить слушателя?
• Достаточно ли пройти один курс по приватности, чтобы пойти в профессию прайвасиста?
• Какого сотрудника следует направить на курс: мотивированного, имеющего подходящий опыт или молодого (в профессиональном плане)?
Чтобы узнать все нюансы управления функцией приватности в компании, приходите 28-29 марта на очный курс Kept «Персональные данные: интенсив».
#Privacy
#Education
Коллеги представили свою позицию и поучаствовали в обсуждении следующих тем:
• Какие курсы в сфере приватности представлены на рынке?
• Должен ли курс по приватности давать знания только в области права или только в сфере технической защиты данных, или только в области менеджмента?
• Какому количеству компетенций по приватности курс должен обучить слушателя?
• Достаточно ли пройти один курс по приватности, чтобы пойти в профессию прайвасиста?
• Какого сотрудника следует направить на курс: мотивированного, имеющего подходящий опыт или молодого (в профессиональном плане)?
Чтобы узнать все нюансы управления функцией приватности в компании, приходите 28-29 марта на очный курс Kept «Персональные данные: интенсив».
#Privacy
#Education
❤12
14 февраля в Совете Федерации при участии Роскомнадзора, Администрации Президента РФ, Ростеха и др. прошел круглый стол на тему «Противодействие утечкам персональных данных граждан», где были затронуты следующие вопросы:
• Введение для операторов персональных данных (ПДн) требования предоставлять сведения о товарах и услугах потребителю вне зависимости от дачи им согласия на обработку ПДн
• Необходимость реагировать на инциденты с ПДн и рассматривать любые операции с ПДн как вероятную угрозу безопасности клиентов
• Пренебрежение принципом минимизации, который, по мнению Роскомнадзора, часто игнорируют операторы ПДн
• Разработка порядка сертификации и присвоении знака качества для компаний, ответственно относящихся к обработке ПДн
• Недопущение ущемления граждан на основе обрабатываемых ПДн в целях профайлинга, например, при выборе разных цен на одинаковые товары с учетом сведений о платежеспособности клиента
Ожидаем, что некоторые инициативы в скором времени могут быть оформлены в законопроекты
#Privacy
#ПолезноЗнать
• Введение для операторов персональных данных (ПДн) требования предоставлять сведения о товарах и услугах потребителю вне зависимости от дачи им согласия на обработку ПДн
• Необходимость реагировать на инциденты с ПДн и рассматривать любые операции с ПДн как вероятную угрозу безопасности клиентов
• Пренебрежение принципом минимизации, который, по мнению Роскомнадзора, часто игнорируют операторы ПДн
• Разработка порядка сертификации и присвоении знака качества для компаний, ответственно относящихся к обработке ПДн
• Недопущение ущемления граждан на основе обрабатываемых ПДн в целях профайлинга, например, при выборе разных цен на одинаковые товары с учетом сведений о платежеспособности клиента
Ожидаем, что некоторые инициативы в скором времени могут быть оформлены в законопроекты
#Privacy
#ПолезноЗнать
👍11
Вопрос:
Зачем нужен Disaster Recovery Plan (DRP)?
Ответ:
Одним из аспектов управления непрерывностью бизнеса (BCM) является разработка DRP - плана восстановления после аварийной ситуации.
DRP направлен на восстановление работы ключевых систем, сервисов и инфраструктуры, необходимых для основной деятельности компании. Иногда под DRP понимается только восстановление деятельности после физического повреждения площадок.
При разработке DRP необходимо:
• утвердить состав и роли членов DR-команды
• определить критически важные бизнес-процессы и данные
• определить критические потребности в подрядчиках/поставщиках
• определить средства и методы восстановления
• описать возможные сценарии развития событий
• установить временные рамки, приоритеты восстановления и ключевые действия во время и после аварии
• проводить тестирование разработанных планов
Неотъемлемой частью DRP является обеспечение надлежащего уровня ИБ на протяжении всего процесса и восстановление самих функций ИБ после аварии.
#ИБ
#Непрерывность
Зачем нужен Disaster Recovery Plan (DRP)?
Ответ:
Одним из аспектов управления непрерывностью бизнеса (BCM) является разработка DRP - плана восстановления после аварийной ситуации.
DRP направлен на восстановление работы ключевых систем, сервисов и инфраструктуры, необходимых для основной деятельности компании. Иногда под DRP понимается только восстановление деятельности после физического повреждения площадок.
При разработке DRP необходимо:
• утвердить состав и роли членов DR-команды
• определить критически важные бизнес-процессы и данные
• определить критические потребности в подрядчиках/поставщиках
• определить средства и методы восстановления
• описать возможные сценарии развития событий
• установить временные рамки, приоритеты восстановления и ключевые действия во время и после аварии
• проводить тестирование разработанных планов
Неотъемлемой частью DRP является обеспечение надлежащего уровня ИБ на протяжении всего процесса и восстановление самих функций ИБ после аварии.
#ИБ
#Непрерывность
👍8❤3🔥3
CISO & DPO news #13 (26 февраля - 1 марта 2024 года)
1/8 Apple добавила в iMessage новый постквантовый протокол шифрования.
2/8 NIST выпустил новую версию фреймворка по ИБ CSF 2.0.
3/8 Опубликована статистика атак с применением дипфейков в банковской сфере.
4/8 В WordPress-плагине LiteSpeed Cache обнаружена опасная уязвимость.
5/8 В результате масштабной утечки данных были раскрыты 26 миллиардов записей.
6/8 В США опубликован указ о запрете доступа России к персональным данным американцев.
7/8 Роскомнадзор проверяет достоверность утечки 500 млн записей в начале 2024 года.
8/8 Badoo и Skype оштрафованы за нарушение требований 152-ФЗ.
1/8 Apple добавила в iMessage новый постквантовый протокол шифрования.
2/8 NIST выпустил новую версию фреймворка по ИБ CSF 2.0.
3/8 Опубликована статистика атак с применением дипфейков в банковской сфере.
4/8 В WordPress-плагине LiteSpeed Cache обнаружена опасная уязвимость.
5/8 В результате масштабной утечки данных были раскрыты 26 миллиардов записей.
6/8 В США опубликован указ о запрете доступа России к персональным данным американцев.
7/8 Роскомнадзор проверяет достоверность утечки 500 млн записей в начале 2024 года.
8/8 Badoo и Skype оштрафованы за нарушение требований 152-ФЗ.
🔥10
Для входа в свой аккаунт в приложении банка нужно ввести пароль.
Что это за процедура?
Что это за процедура?
Anonymous Quiz
16%
Идентификация
54%
Аутентификация
29%
Авторизация
1%
Обфускация
🤔6👍3
В викторине приводился пример аутентификации. Вводя пароль в приложении, пользователь запускает процедуру аутентификации, с помощью которой банк может подтвердить подлинность пользователя.
Также применяется многофакторная аутентификация — использование дополнительных факторов аутентификации для проверки пользователя при входе в сервис, например: пароль, смс-код, секретный вопрос и биометрические данные.
Идентификация — процесс, в результате которого для субъекта идентификации проверяется его уникальный идентификатор (логин, эл. почта, номер телефона, иной признак), однозначно определяющий пользователя в системе.
Авторизация — процесс выдачи прав доступа пользователю к определенным данным или ресурсам и процесс проверки данных прав при попытке получения доступа.
Обфускация – это метод защиты исходного кода путем его запутывания с сохранением работоспособности программы. Термин также применятся к сокрытию данных при выводе пользователю, например, маскировка номера банковской карты.
#ИБ
Также применяется многофакторная аутентификация — использование дополнительных факторов аутентификации для проверки пользователя при входе в сервис, например: пароль, смс-код, секретный вопрос и биометрические данные.
Идентификация — процесс, в результате которого для субъекта идентификации проверяется его уникальный идентификатор (логин, эл. почта, номер телефона, иной признак), однозначно определяющий пользователя в системе.
Авторизация — процесс выдачи прав доступа пользователю к определенным данным или ресурсам и процесс проверки данных прав при попытке получения доступа.
Обфускация – это метод защиты исходного кода путем его запутывания с сохранением работоспособности программы. Термин также применятся к сокрытию данных при выводе пользователю, например, маскировка номера банковской карты.
#ИБ
👍10👌3
С 5 января 2024 г. за нарушения требований к письменному согласию на обработку ПДн увеличился штраф до 1,5 млн. руб. (ч.2 и 2.1 ст.13.11 КоАП РФ). Рассмотрим, какие требования предъявляются к письменному согласию.
Письменное согласие может быть дано в бумажной и электронной форме (есть дополнительные условия) и должно содержать установленный ч.4 ст.9 152-ФЗ состав сведений.
Оно требуется в случаях:
• обработки специальных и биометрических категорий (ПДн) (ст.10 и 11 152-ФЗ)
• включения ПДн в общедоступные источники (ст.8 152-ФЗ)
• при принятии решений на основании исключительно автоматизированной обработки (ст.16 152-ФЗ)
• при сообщении работодателем ПДн работника третьей стороне (ст.88 ТК РФ)
• при распространении специальных категорий ПДн общественными объединениями и религиозными организациями (п.5 ч.2 ст.10 152-ФЗ). Следует иметь ввиду коллизию данного положения с ст.10.1, касающейся согласия на обработку ПДн, разрешенных субъектом для распространения
#Privacy
#ПолезноЗнать
Письменное согласие может быть дано в бумажной и электронной форме (есть дополнительные условия) и должно содержать установленный ч.4 ст.9 152-ФЗ состав сведений.
Оно требуется в случаях:
• обработки специальных и биометрических категорий (ПДн) (ст.10 и 11 152-ФЗ)
• включения ПДн в общедоступные источники (ст.8 152-ФЗ)
• при принятии решений на основании исключительно автоматизированной обработки (ст.16 152-ФЗ)
• при сообщении работодателем ПДн работника третьей стороне (ст.88 ТК РФ)
• при распространении специальных категорий ПДн общественными объединениями и религиозными организациями (п.5 ч.2 ст.10 152-ФЗ). Следует иметь ввиду коллизию данного положения с ст.10.1, касающейся согласия на обработку ПДн, разрешенных субъектом для распространения
#Privacy
#ПолезноЗнать
👍9❤2
CISO & DPO news #14 (4-8 марта 2024 года)
1/8 Четверть российских операторов связи не подключились к системе «Антифрод».
2/8 IBM опубликовала технологию защиты от киберугроз, основанную на ИИ.
3/8 Обнаружены вредоносные репозитории на GitHub.
4/8 Активность мошенников перед 8 марта заметно возросла.
5/8 EDPB анализирует применение права субъектов на доступ к их персональным данным.
6/8 Готовится сервис биометрической идентификации для удаленного участия в судах.
7/8 Введены новые правила защиты персональных данных в Казахстане.
8/8 Выдвинута инициатива об отмене моратория на проведение проверок IT-компаний.
1/8 Четверть российских операторов связи не подключились к системе «Антифрод».
2/8 IBM опубликовала технологию защиты от киберугроз, основанную на ИИ.
3/8 Обнаружены вредоносные репозитории на GitHub.
4/8 Активность мошенников перед 8 марта заметно возросла.
5/8 EDPB анализирует применение права субъектов на доступ к их персональным данным.
6/8 Готовится сервис биометрической идентификации для удаленного участия в судах.
7/8 Введены новые правила защиты персональных данных в Казахстане.
8/8 Выдвинута инициатива об отмене моратория на проведение проверок IT-компаний.
👍10