29 марта завершился наш интенсив по персональным данным. За 2 дня мы провели экспресс-погружение слушателей в сферу правового регулирования и обеспечения безопасности персональных данных в России.
Наш курс разбит на модули, которые учитывают основные функции и задачи ответственного за организацию обработки ПДн в компании. Практические задания курса основаны на решении прикладных задач, с которыми работает ответственный за организацию обработки ПДн в ходе своей повседневной деятельности. Также участники решают кейсы, непосредственно связанные с их компаниями или сферой их деятельности.
Мы делаем акцент на живом общении и обсуждении вопросов, которые действительно волнуют наших участников, поэтому проводим именно очное обучение.
🟣Содержание тренинга и регистрация на новый поток доступны по ссылке. Следующий интенсив пройдет 3-4 июня в нашем московском офисе.
#Privacy
Наш курс разбит на модули, которые учитывают основные функции и задачи ответственного за организацию обработки ПДн в компании. Практические задания курса основаны на решении прикладных задач, с которыми работает ответственный за организацию обработки ПДн в ходе своей повседневной деятельности. Также участники решают кейсы, непосредственно связанные с их компаниями или сферой их деятельности.
Мы делаем акцент на живом общении и обсуждении вопросов, которые действительно волнуют наших участников, поэтому проводим именно очное обучение.
🟣Содержание тренинга и регистрация на новый поток доступны по ссылке. Следующий интенсив пройдет 3-4 июня в нашем московском офисе.
#Privacy
🔥13❤1
Сводка опубликованных и вступивших в силу нормативно-правовых актов
(01.01.2024 - 10.04.2024)
Вступило в силу 1 января 2024 г.:
• Положение ЦБ РФ № 833-П о требованиях ИБ для участников платформы цифрового рубля
• ПП РФ № 1429 и № 1430 об изменениях в использовании ЕБС
Вступило в силу 12 января 2024 г.:
• Приказ Минцифры о формах подтверждения соответствия информационных и технических средств, предназначенных для обработки биометрических персональных данных
• Перечни типовых отраслевых объектов КИИ в области химической промышленности
Вступило в силу 24 января 2024 г.:
• Методические рекомендации Минтранса РФ по категорированию объектов КИИ в сфере транспорта
• ПП РФ № 4 об утверждении Правил установки, эксплуатации и модернизации в точках обмена трафиком технических средств противодействия угрозам сети Интернет на территории РФ
Вступило в силу 25 января 2024 г.:
• Перечни типовых отраслевых объектов КИИ в области горнодобывающей, металлургической и оборонной промышленности
Вступило в силу 1 февраля 2024 г.:
• ПП РФ № 58 об утверждении правил переоформления и прекращения допуска к государственной тайне
Вступило в силу 6 февраля 2024 г.:
• Перечень национальных стандартов, разработанных ТК 362 и принятых Росстандартом
Вступило в силу 1 марта 2024 г.:
• Методические рекомендации Банка России № 4-МР по усилению контроля за отдельными операциями клиентов - физических лиц
Вступило в силу 27 марта 2024 г.:
• Методические рекомендации ЦБ РФ № 7-МР по управлению риском ИБ и обеспечению операционной надежности
Вступило в силу 1 апреля 2024 г.:
• Положение ЦБ РФ № 821-П о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств
• Положение Банка России № 822-П о требованиях к защите информации, содержащейся в автоматизированной информационной системе страхования
Вступило в силу 6 апреля 2024 г.:
• Приказ Роскомнадзора № 25 об утверждении условий установки техсредств противодействия угрозам, а также требований к сетям связи при использовании таких средств
#ДеЮре
#Privacy
#ИБ
(01.01.2024 - 10.04.2024)
Вступило в силу 1 января 2024 г.:
• Положение ЦБ РФ № 833-П о требованиях ИБ для участников платформы цифрового рубля
• ПП РФ № 1429 и № 1430 об изменениях в использовании ЕБС
Вступило в силу 12 января 2024 г.:
• Приказ Минцифры о формах подтверждения соответствия информационных и технических средств, предназначенных для обработки биометрических персональных данных
• Перечни типовых отраслевых объектов КИИ в области химической промышленности
Вступило в силу 24 января 2024 г.:
• Методические рекомендации Минтранса РФ по категорированию объектов КИИ в сфере транспорта
• ПП РФ № 4 об утверждении Правил установки, эксплуатации и модернизации в точках обмена трафиком технических средств противодействия угрозам сети Интернет на территории РФ
Вступило в силу 25 января 2024 г.:
• Перечни типовых отраслевых объектов КИИ в области горнодобывающей, металлургической и оборонной промышленности
Вступило в силу 1 февраля 2024 г.:
• ПП РФ № 58 об утверждении правил переоформления и прекращения допуска к государственной тайне
Вступило в силу 6 февраля 2024 г.:
• Перечень национальных стандартов, разработанных ТК 362 и принятых Росстандартом
Вступило в силу 1 марта 2024 г.:
• Методические рекомендации Банка России № 4-МР по усилению контроля за отдельными операциями клиентов - физических лиц
Вступило в силу 27 марта 2024 г.:
• Методические рекомендации ЦБ РФ № 7-МР по управлению риском ИБ и обеспечению операционной надежности
Вступило в силу 1 апреля 2024 г.:
• Положение ЦБ РФ № 821-П о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств
• Положение Банка России № 822-П о требованиях к защите информации, содержащейся в автоматизированной информационной системе страхования
Вступило в силу 6 апреля 2024 г.:
• Приказ Роскомнадзора № 25 об утверждении условий установки техсредств противодействия угрозам, а также требований к сетям связи при использовании таких средств
#ДеЮре
#Privacy
#ИБ
👍9🔥1
Вопрос:
Для чего нужен Реестр процессов обработки персональных данных (ПДн)?
Ответ:
Реестр процессов обработки ПДн (далее – Реестр) – это инструмент, который содержит информацию о процессах обработки ПДн в компании. Основная задача Реестра – составить полную картину о составе, целях и способах обработки ПДн в компании. Также наличие Реестра позволяет соблюсти требование п. 2 ч. 1 152-ФЗ по наличию внутреннего документа, определяющего цели обработки ПДн и перечень ПДн.
Законодательство РФ в области ПДн не содержит требований к содержанию Реестра, поэтому в качестве «лучших практик» предлагаем обратиться к ст. 30 GDPR а также рекомендациям и инструментам по ведению Реестра от регуляторов Евросоюза.
Команда Kept Cyber предлагает включать в Реестр следующие разделы:
· название процесса обработки ПДн;
· роль компании в обработке ПДн;
· цели, правовые основания обработки ПДн, их объем, а также сроки хранения;
· перечень субъектов ПДн, которым принадлежат данные;
· подразделения, участвующие в процессе обработки ПДн;
· сведения о способе обработке ПДн (документы и информационные системы, в которые передаются ПДн, и информация о местах расположения баз данных таких систем);
· сведения о взаимодействии с третьими лицами (передаются ли данные третьим лицам, каким именно и на каком правовом основании, включая трансграничную передачу).
#KeptОтвечает
#Privacy
Для чего нужен Реестр процессов обработки персональных данных (ПДн)?
Ответ:
Реестр процессов обработки ПДн (далее – Реестр) – это инструмент, который содержит информацию о процессах обработки ПДн в компании. Основная задача Реестра – составить полную картину о составе, целях и способах обработки ПДн в компании. Также наличие Реестра позволяет соблюсти требование п. 2 ч. 1 152-ФЗ по наличию внутреннего документа, определяющего цели обработки ПДн и перечень ПДн.
Законодательство РФ в области ПДн не содержит требований к содержанию Реестра, поэтому в качестве «лучших практик» предлагаем обратиться к ст. 30 GDPR а также рекомендациям и инструментам по ведению Реестра от регуляторов Евросоюза.
Команда Kept Cyber предлагает включать в Реестр следующие разделы:
· название процесса обработки ПДн;
· роль компании в обработке ПДн;
· цели, правовые основания обработки ПДн, их объем, а также сроки хранения;
· перечень субъектов ПДн, которым принадлежат данные;
· подразделения, участвующие в процессе обработки ПДн;
· сведения о способе обработке ПДн (документы и информационные системы, в которые передаются ПДн, и информация о местах расположения баз данных таких систем);
· сведения о взаимодействии с третьими лицами (передаются ли данные третьим лицам, каким именно и на каком правовом основании, включая трансграничную передачу).
#KeptОтвечает
#Privacy
👍14👎1
CISO & DPO news #19 (8-12 апреля 2024 года)
1/8 Российские компании стали целью вымогателей Muliaka.
2/8 В Telegram найдена новая уязвимость.
3/8 Хакерская группировка TA547 атакует немецкие организации с помощью ИИ.
4/8 Microsoft устранила в своих продуктах 149 уязвимостей безопасности.
5/8 Роскомнадзор планирует использовать ИИ при мониторинге интернет-ресурсов.
6/8 За 2023 г. объем утечек персональных данных в мире увеличился в 2 раза.
7/8 Издана структура и методология расчета индекса кибербезопасности в Евросоюзе.
8/8 Обсуждается обязательная идентификация администраторов доменов в РФ.
1/8 Российские компании стали целью вымогателей Muliaka.
2/8 В Telegram найдена новая уязвимость.
3/8 Хакерская группировка TA547 атакует немецкие организации с помощью ИИ.
4/8 Microsoft устранила в своих продуктах 149 уязвимостей безопасности.
5/8 Роскомнадзор планирует использовать ИИ при мониторинге интернет-ресурсов.
6/8 За 2023 г. объем утечек персональных данных в мире увеличился в 2 раза.
7/8 Издана структура и методология расчета индекса кибербезопасности в Евросоюзе.
8/8 Обсуждается обязательная идентификация администраторов доменов в РФ.
🔥10
Статическое тестирование безопасности приложений (SAST) – это…
Anonymous Quiz
47%
Анализ исходного кода на наличие уязвимостей
21%
Сканирование внешних интерфейсов приложения на уязвимости
32%
Сканирование внешних интерфейсов приложения на уязвимости с частичным доступом к исходному коду
🔥3🤔1
Неотъемлемой частью процесса безопасной разработки ПО является проверка безопасности исходного кода. Одним из методов такой проверки является статическое тестирование безопасности (SAST).
SAST проводится по методу «белого ящика», то есть с полным доступом к исходному коду, что позволяет обнаруживать критические уязвимости, такие как SQL-инъекции, переполнение буфера, межсайтовый скриптинг (XSS) и иные уязвимости OWASP Top 10 и SANS TOP 25.
Преимущества SAST:
• Полный анализ исходного кода, потоков управления и потоков данных на предмет соответствия правилам и политикам безопасности, основанным на известных уязвимостях и стандартах безопасности;
• Простота интеграции в процесс разработки ПО;
• Поддержка широкого спектра языков программирования и платформ SAST-инструментарием;
• Точное определение слабых мест в программном коде.
Однако в рамках SAST может возникать большое количество ложных срабатываний, что может потребовать значительные временные затраты на их обработку.
#ИБ
SAST проводится по методу «белого ящика», то есть с полным доступом к исходному коду, что позволяет обнаруживать критические уязвимости, такие как SQL-инъекции, переполнение буфера, межсайтовый скриптинг (XSS) и иные уязвимости OWASP Top 10 и SANS TOP 25.
Преимущества SAST:
• Полный анализ исходного кода, потоков управления и потоков данных на предмет соответствия правилам и политикам безопасности, основанным на известных уязвимостях и стандартах безопасности;
• Простота интеграции в процесс разработки ПО;
• Поддержка широкого спектра языков программирования и платформ SAST-инструментарием;
• Точное определение слабых мест в программном коде.
Однако в рамках SAST может возникать большое количество ложных срабатываний, что может потребовать значительные временные затраты на их обработку.
#ИБ
👍8
Ранее мы описали различия обезличивания и анонимизации персональных данных (ПДн), сегодня расскажем об их методах.
Роскомнадзор определяет следующие методы обезличивания ПДн:
· введение идентификаторов: замена части ПДн идентификаторами;
· изменение состава: удаление / изменение части данных;
· декомпозиция: разделение множества ПДн на несколько частей с их последующим раздельным хранением;
· перемешивание: перестановка групп или отдельных записей в массиве ПДн.
Законами РФ не определена сущность «анонимизация», поэтому мы обратимся к методикам, указанным в мнении Рабочей группы по статье 29 (WP.29):
· обобщение: снижение детализации или разбавление атрибутов путем изменения соответствующего масштаба или порядка величины (страна вместо адреса или название месяца вместо точной даты);
· рандомизация: ряд техник по изменению ПДн или добавлению новых данных (добавление шума, перестановка);
· удаление очевидных атрибутов и идентификаторов.
Стоит помнить – если первоначальный набор данных не удален, то информация не может считаться анонимизированной, так как существует вероятность деанонимизации.
#ПолезноЗнать
#Privacy
Роскомнадзор определяет следующие методы обезличивания ПДн:
· введение идентификаторов: замена части ПДн идентификаторами;
· изменение состава: удаление / изменение части данных;
· декомпозиция: разделение множества ПДн на несколько частей с их последующим раздельным хранением;
· перемешивание: перестановка групп или отдельных записей в массиве ПДн.
Законами РФ не определена сущность «анонимизация», поэтому мы обратимся к методикам, указанным в мнении Рабочей группы по статье 29 (WP.29):
· обобщение: снижение детализации или разбавление атрибутов путем изменения соответствующего масштаба или порядка величины (страна вместо адреса или название месяца вместо точной даты);
· рандомизация: ряд техник по изменению ПДн или добавлению новых данных (добавление шума, перестановка);
· удаление очевидных атрибутов и идентификаторов.
Стоит помнить – если первоначальный набор данных не удален, то информация не может считаться анонимизированной, так как существует вероятность деанонимизации.
#ПолезноЗнать
#Privacy
👍10❤1
Вопрос:
Можно ли при подаче уведомления в Роскомнадзор объединять схожие цели обработки персональных данных (ПДн)?
Ответ:
Существует практика, когда компании при подготовке уведомления о намерении осуществлять обработку ПДн ограничиваются только примерами перечня целей обработки ПДн.
Но мы рекомендуем не ограничиваться данным перечнем и максимально детализировать цели обработки ПДн. Это поможет избежать указания избыточного объема ПДн в рамках цели, некорректных сроков обработки ПДн, а также некорректного правового основания обработки ПДн.
Также в приказе Минцифры от 15.11.2021 № 1187 содержится перечень индикаторов риска нарушения обязательных требований. Одним из индикаторов является установление Роскомнадзором трех и более фактов несоответствия информации, указанной в Уведомлении, и во внутренних документах компании (Политика обработки ПДн). Поэтому важно, чтобы сведения о целях обработки ПДн в Уведомлении совпадали с целями в Политике обработки ПДн.
#Отвечает Kept
#Privacy
Можно ли при подаче уведомления в Роскомнадзор объединять схожие цели обработки персональных данных (ПДн)?
Ответ:
Существует практика, когда компании при подготовке уведомления о намерении осуществлять обработку ПДн ограничиваются только примерами перечня целей обработки ПДн.
Но мы рекомендуем не ограничиваться данным перечнем и максимально детализировать цели обработки ПДн. Это поможет избежать указания избыточного объема ПДн в рамках цели, некорректных сроков обработки ПДн, а также некорректного правового основания обработки ПДн.
Также в приказе Минцифры от 15.11.2021 № 1187 содержится перечень индикаторов риска нарушения обязательных требований. Одним из индикаторов является установление Роскомнадзором трех и более фактов несоответствия информации, указанной в Уведомлении, и во внутренних документах компании (Политика обработки ПДн). Поэтому важно, чтобы сведения о целях обработки ПДн в Уведомлении совпадали с целями в Политике обработки ПДн.
#Отвечает Kept
#Privacy
👍9
CISO & DPO news #20 (15-21 апреля 2024 года)
1/8 GPT-4 может использовать реальные уязвимости, читая рекомендации по безопасности.
2/8 Массовые brute force нацелены на VPN- и SSH-сервисы.
3/8 Хакерская группировка TA558 атакует с помощью стеганографии.
4/8 В России упростят процесс сертификации обновлений ОС и ПО.
5/8 ИТ-компании подписали Отраслевой стандарт защиты данных.
6/8 НКЦКИ запустил сервис проверки утечек данных.
7/8 Опубликованы новые формы согласий на обработку биометрии.
8/8 Подготовлен законопроект о раскрытии полиции сведений о здоровье.
1/8 GPT-4 может использовать реальные уязвимости, читая рекомендации по безопасности.
2/8 Массовые brute force нацелены на VPN- и SSH-сервисы.
3/8 Хакерская группировка TA558 атакует с помощью стеганографии.
4/8 В России упростят процесс сертификации обновлений ОС и ПО.
5/8 ИТ-компании подписали Отраслевой стандарт защиты данных.
6/8 НКЦКИ запустил сервис проверки утечек данных.
7/8 Опубликованы новые формы согласий на обработку биометрии.
8/8 Подготовлен законопроект о раскрытии полиции сведений о здоровье.
👍9