CISO & DPO news #26 (24-30 мая 2024 года)
1/8 EDPB опубликовал руководство по защите ПДн для малого бизнеса.
2/8 Минцифры подготовило правки к законопроекту об санкциях за утечки персданных.
3/8 Издан проект требований для провайдеров хостинга по защите данных в ГИС и МИС.
4/8 Выросла доля киберпреступлений в РФ.
5/8 В Госдуме предлагают ввести уголовную ответственность за дипфейки.
6/8 ГК «Солар» опубликовали отчет о хакерской группировке Shedding Zmiy.
7/8 Банк России опубликовал обзор отчетности об инцидентах ИБ за 1-й квартал 2024.
8/8 Эксперты рассказали об активности хакерской группе Sapphire Werewolf.
1/8 EDPB опубликовал руководство по защите ПДн для малого бизнеса.
2/8 Минцифры подготовило правки к законопроекту об санкциях за утечки персданных.
3/8 Издан проект требований для провайдеров хостинга по защите данных в ГИС и МИС.
4/8 Выросла доля киберпреступлений в РФ.
5/8 В Госдуме предлагают ввести уголовную ответственность за дипфейки.
6/8 ГК «Солар» опубликовали отчет о хакерской группировке Shedding Zmiy.
7/8 Банк России опубликовал обзор отчетности об инцидентах ИБ за 1-й квартал 2024.
8/8 Эксперты рассказали об активности хакерской группе Sapphire Werewolf.
👍9
Допускает ли GDPR использование согласия субъекта ПДн в качестве правового основания для обработки ПДн работника?
Anonymous Quiz
17%
Нет, не допускает
8%
Да, допускает использование всегда
75%
Да, допускает при условии, что обеспечивается принцип свободы дачи согласия
🤔5👍1
В соответствии с требованиями ст. 7 GDPR, согласие на обработку персональных данных (ПДн) должно быть дано на добровольной основе. Также согласие на обработку ПДн может быть отозвано субъектом в любое время, что может повлечь прекращение обработки ПДн.
Согласно п. 3.1.1 разъяснений EDPB от 2020 года в отношении согласия на обработку ПДн, работодатель может использовать согласие на обработку ПДн в качестве правового основания для обработки ПДн работника в тех случаях, когда:
• может быть обеспечена добровольность дачи согласия;
• отказ от дачи согласия не окажет негативного влияния на работника.
Примером такой ситуации может служить сбор ПДн работника для предоставления услуги ДМС или для организации экскурсионной поездки.
EDPB подчеркивает зависимость работника от работодателя, поэтому работник не во всех ситуациях может дать согласие добровольно из опасений быть уволенным и / или из страха получить ухудшение условий труда.
Регулятор рекомендует использовать в качестве правовых оснований требование законодательства или договор с субъектом.
#Privacy
Согласно п. 3.1.1 разъяснений EDPB от 2020 года в отношении согласия на обработку ПДн, работодатель может использовать согласие на обработку ПДн в качестве правового основания для обработки ПДн работника в тех случаях, когда:
• может быть обеспечена добровольность дачи согласия;
• отказ от дачи согласия не окажет негативного влияния на работника.
Примером такой ситуации может служить сбор ПДн работника для предоставления услуги ДМС или для организации экскурсионной поездки.
EDPB подчеркивает зависимость работника от работодателя, поэтому работник не во всех ситуациях может дать согласие добровольно из опасений быть уволенным и / или из страха получить ухудшение условий труда.
Регулятор рекомендует использовать в качестве правовых оснований требование законодательства или договор с субъектом.
#Privacy
👍8
Международный стандарт ISO / IEC 27701:2019 (далее – Стандарт) определяет требования к системе управления персональными данными (ПДн) в компании и является дополнением к ISO / IEC 27001 (система управления информационной безопасностью).
В чем преимущества наличия сертификации для деловых отношений?
1. Внедрение Стандарта позволяет компании структурировать процессы обработки и защиты ПДн, а также обеспечить их управляемость с течением времени. Кроме того, сертификация позволяет получить независимое мнение касательно этих процессов и дополнительный стимул к поддержанию цикла Plan-Do-Check-Act для ежегодного подтверждения соответствия.
2. Реализация и поддержание требований Стандарта требует от компании отслеживать изменения законодательства и своевременно принимать меры с учетом новых требований, а также предлагает механизмы для реализации соответствующих процессов в общем процессе управления соответствием требованиям.
3. Внедрение стандарта, сертификация и её поддержание демонстрируют приверженность компании вопросам защиты ПДн и позволяют продемонстрировать уровень взятых на себя обязательств. Такая демонстрация повышает уровень доверия заинтересованных сторон, включая клиентов и контрагентов.
4. Поскольку Стандарт является надстройкой над стандартом по системе управления информационной безопасностью, его внедрение и последующая сертификация позволяют обеспечить взаимосвязь процессов защиты ПДн с общими процессами и мерами обеспечения информационной безопасности, что, в свою очередь, позволяет унифицировать подходы к планированию, постановке целей, оценке рисков и выбору способов их обработки, тем самым обеспечивая более комплексный подход к защите данных компании.
В этом году Kept получила сертификацию ISO / IEC 27701:2019 и ISO/IEC 27001:2022. Наша команда приняла непосредственное участие в подготовке к сертификации и прохождении аудита.
#Privacy
#Сертификация
#ПолезноЗнать
В чем преимущества наличия сертификации для деловых отношений?
1. Внедрение Стандарта позволяет компании структурировать процессы обработки и защиты ПДн, а также обеспечить их управляемость с течением времени. Кроме того, сертификация позволяет получить независимое мнение касательно этих процессов и дополнительный стимул к поддержанию цикла Plan-Do-Check-Act для ежегодного подтверждения соответствия.
2. Реализация и поддержание требований Стандарта требует от компании отслеживать изменения законодательства и своевременно принимать меры с учетом новых требований, а также предлагает механизмы для реализации соответствующих процессов в общем процессе управления соответствием требованиям.
3. Внедрение стандарта, сертификация и её поддержание демонстрируют приверженность компании вопросам защиты ПДн и позволяют продемонстрировать уровень взятых на себя обязательств. Такая демонстрация повышает уровень доверия заинтересованных сторон, включая клиентов и контрагентов.
4. Поскольку Стандарт является надстройкой над стандартом по системе управления информационной безопасностью, его внедрение и последующая сертификация позволяют обеспечить взаимосвязь процессов защиты ПДн с общими процессами и мерами обеспечения информационной безопасности, что, в свою очередь, позволяет унифицировать подходы к планированию, постановке целей, оценке рисков и выбору способов их обработки, тем самым обеспечивая более комплексный подход к защите данных компании.
В этом году Kept получила сертификацию ISO / IEC 27701:2019 и ISO/IEC 27001:2022. Наша команда приняла непосредственное участие в подготовке к сертификации и прохождении аудита.
#Privacy
#Сертификация
#ПолезноЗнать
👍12🔥3
Вопрос:
Как можно выполнить требование по «локализации» баз данных на территории России?
Ответ:
Согласно ч. 5 ст. 18 152-ФЗ, компании обязаны осуществлять первоначальный сбор персональных данных (ПДн) граждан РФ с использование баз данных (БД), находящихся на территории РФ, после чего ПДн могут быть переданы на территорию иностранного государства.
Ниже представлены примеры возможных способов реализации требования о «локализации» и их схематическое изображение.
Способ 1. Перенос всей обработки ПДн на территорию РФ
• БД и сервер приложения расположены на территории РФ. Весь цикл обработки ПДн осуществляется в них. Способ позволяет полностью выполнить требование о «локализации».
• Способ подойдет для приложений, основная аудитория которых граждане РФ.
• Может быть трудно реализуем для международных компаний.
Способ 2. Создание промежуточной базы данных на территории РФ
• Для первоначального сбора и актуализации ПДн граждан РФ создается дополнительная БД на территории РФ. После этого ПДн передаются в основную БД и на сервер приложения, которые находятся в иностранном государстве.
• При обращении к серверу приложения по IP-адресу, языковым настройкам, информации о местонахождении или другим параметрам определяется из какой страны пришел запрос, и ПДн заносятся в БД на территории РФ.
Способ 3. Локализация только базы данных на территории РФ
• БД приложения переносится в РФ, а сервер приложения остается в иностранном государстве.
Способ 4. Обезличивание данных
• Также возможен вариант, при котором на территорию иностранного государства передается обезличенный набор данных. Это позволяет выполнить требование о «локализации».
Ранее мы уже рассказывали о методах обезличивания ПДн.
#Privacy
Как можно выполнить требование по «локализации» баз данных на территории России?
Ответ:
Согласно ч. 5 ст. 18 152-ФЗ, компании обязаны осуществлять первоначальный сбор персональных данных (ПДн) граждан РФ с использование баз данных (БД), находящихся на территории РФ, после чего ПДн могут быть переданы на территорию иностранного государства.
Ниже представлены примеры возможных способов реализации требования о «локализации» и их схематическое изображение.
Способ 1. Перенос всей обработки ПДн на территорию РФ
• БД и сервер приложения расположены на территории РФ. Весь цикл обработки ПДн осуществляется в них. Способ позволяет полностью выполнить требование о «локализации».
• Способ подойдет для приложений, основная аудитория которых граждане РФ.
• Может быть трудно реализуем для международных компаний.
Способ 2. Создание промежуточной базы данных на территории РФ
• Для первоначального сбора и актуализации ПДн граждан РФ создается дополнительная БД на территории РФ. После этого ПДн передаются в основную БД и на сервер приложения, которые находятся в иностранном государстве.
• При обращении к серверу приложения по IP-адресу, языковым настройкам, информации о местонахождении или другим параметрам определяется из какой страны пришел запрос, и ПДн заносятся в БД на территории РФ.
Способ 3. Локализация только базы данных на территории РФ
• БД приложения переносится в РФ, а сервер приложения остается в иностранном государстве.
Способ 4. Обезличивание данных
• Также возможен вариант, при котором на территорию иностранного государства передается обезличенный набор данных. Это позволяет выполнить требование о «локализации».
Ранее мы уже рассказывали о методах обезличивания ПДн.
#Privacy
👍17
CISO & DPO news #27 (31 мая – 6 июня 2024 года)
1/8 Управление Роскомнадзора проверило таксопарки в Мурманской области.
2/8 ФСТЭК информирует о способах актуализации форм сведений об объектах КИИ.
3/8 Meta* оштрафована за несвоевременное оповещение пользователей об обработке данных.
4/8 Опубликован отчет об анализе DDoS-атак за первый квартал 2024 года.
5/8 NIST выпустил программу для безопасного внедрения ИИ-систем.
6/8 Фишинговый инструмент CryptoChameleon крадет данные пользователей.
7/8 Обнаружены две критические уязвимости в Telerik Report Server.
8/8 Опубликован отчет об основных тенденциях угроз в сфере ИБ на 2024 год.
1/8 Управление Роскомнадзора проверило таксопарки в Мурманской области.
2/8 ФСТЭК информирует о способах актуализации форм сведений об объектах КИИ.
3/8 Meta* оштрафована за несвоевременное оповещение пользователей об обработке данных.
4/8 Опубликован отчет об анализе DDoS-атак за первый квартал 2024 года.
5/8 NIST выпустил программу для безопасного внедрения ИИ-систем.
6/8 Фишинговый инструмент CryptoChameleon крадет данные пользователей.
7/8 Обнаружены две критические уязвимости в Telerik Report Server.
8/8 Опубликован отчет об основных тенденциях угроз в сфере ИБ на 2024 год.
👍12
Какой из протоколов используется для защиты данных, передаваемых по сетям Wi-Fi?
Anonymous Quiz
14%
SSL
72%
WPA3
6%
VPN
8%
SSH
🤔4👍1
В настоящее время наиболее современным протоколом безопасности беспроводных сетей является WPA3. Переход на WPA3 c более ранней версии WPA2 предоставляет значительные преимущества в области безопасности Wi-Fi сетей.
WPA3 превосходит своего предшественника WPA2 по нескольким ключевым направлениям:
• применяется 192-битное шифрование в WPA3 вместо 128-битного;
• использование протокола SAE (одновременная равноправная аутентификация) исключает возможность словарных офлайн-атак;
• метод прямой секретности позволяет защитить зашифрованный трафик маршрутизатора от перехвата и расшифровки в будущем,
• протокол шифрования OWE защищает открытые сети от атак типа «человек посередине».
Помимо преимуществ, следует упомянуть о недостатках протокола WPA3. В протоколе WPA3 в 2018 году нашли серию уязвимостей с названием DragonBlood, а в 2023 году - уязвимость SSID Confusion.
Общая идея атак, основанных на этих уязвимостях, заключается в понижении протокола безопасности и последующей эксплуатации уязвимостей.
Даже используя современный протокол безопасности WPA3, не забывайте использовать сложные пароли и периодически обновлять прошивку вашего роутера.
#ИБ
WPA3 превосходит своего предшественника WPA2 по нескольким ключевым направлениям:
• применяется 192-битное шифрование в WPA3 вместо 128-битного;
• использование протокола SAE (одновременная равноправная аутентификация) исключает возможность словарных офлайн-атак;
• метод прямой секретности позволяет защитить зашифрованный трафик маршрутизатора от перехвата и расшифровки в будущем,
• протокол шифрования OWE защищает открытые сети от атак типа «человек посередине».
Помимо преимуществ, следует упомянуть о недостатках протокола WPA3. В протоколе WPA3 в 2018 году нашли серию уязвимостей с названием DragonBlood, а в 2023 году - уязвимость SSID Confusion.
Общая идея атак, основанных на этих уязвимостях, заключается в понижении протокола безопасности и последующей эксплуатации уязвимостей.
Даже используя современный протокол безопасности WPA3, не забывайте использовать сложные пароли и периодически обновлять прошивку вашего роутера.
#ИБ
👍10