Международный стандарт ISO / IEC 27701:2019 (далее – Стандарт) определяет требования к системе управления персональными данными (ПДн) в компании и является дополнением к ISO / IEC 27001 (система управления информационной безопасностью).
В чем преимущества наличия сертификации для деловых отношений?
1. Внедрение Стандарта позволяет компании структурировать процессы обработки и защиты ПДн, а также обеспечить их управляемость с течением времени. Кроме того, сертификация позволяет получить независимое мнение касательно этих процессов и дополнительный стимул к поддержанию цикла Plan-Do-Check-Act для ежегодного подтверждения соответствия.
2. Реализация и поддержание требований Стандарта требует от компании отслеживать изменения законодательства и своевременно принимать меры с учетом новых требований, а также предлагает механизмы для реализации соответствующих процессов в общем процессе управления соответствием требованиям.
3. Внедрение стандарта, сертификация и её поддержание демонстрируют приверженность компании вопросам защиты ПДн и позволяют продемонстрировать уровень взятых на себя обязательств. Такая демонстрация повышает уровень доверия заинтересованных сторон, включая клиентов и контрагентов.
4. Поскольку Стандарт является надстройкой над стандартом по системе управления информационной безопасностью, его внедрение и последующая сертификация позволяют обеспечить взаимосвязь процессов защиты ПДн с общими процессами и мерами обеспечения информационной безопасности, что, в свою очередь, позволяет унифицировать подходы к планированию, постановке целей, оценке рисков и выбору способов их обработки, тем самым обеспечивая более комплексный подход к защите данных компании.
В этом году Kept получила сертификацию ISO / IEC 27701:2019 и ISO/IEC 27001:2022. Наша команда приняла непосредственное участие в подготовке к сертификации и прохождении аудита.
#Privacy
#Сертификация
#ПолезноЗнать
В чем преимущества наличия сертификации для деловых отношений?
1. Внедрение Стандарта позволяет компании структурировать процессы обработки и защиты ПДн, а также обеспечить их управляемость с течением времени. Кроме того, сертификация позволяет получить независимое мнение касательно этих процессов и дополнительный стимул к поддержанию цикла Plan-Do-Check-Act для ежегодного подтверждения соответствия.
2. Реализация и поддержание требований Стандарта требует от компании отслеживать изменения законодательства и своевременно принимать меры с учетом новых требований, а также предлагает механизмы для реализации соответствующих процессов в общем процессе управления соответствием требованиям.
3. Внедрение стандарта, сертификация и её поддержание демонстрируют приверженность компании вопросам защиты ПДн и позволяют продемонстрировать уровень взятых на себя обязательств. Такая демонстрация повышает уровень доверия заинтересованных сторон, включая клиентов и контрагентов.
4. Поскольку Стандарт является надстройкой над стандартом по системе управления информационной безопасностью, его внедрение и последующая сертификация позволяют обеспечить взаимосвязь процессов защиты ПДн с общими процессами и мерами обеспечения информационной безопасности, что, в свою очередь, позволяет унифицировать подходы к планированию, постановке целей, оценке рисков и выбору способов их обработки, тем самым обеспечивая более комплексный подход к защите данных компании.
В этом году Kept получила сертификацию ISO / IEC 27701:2019 и ISO/IEC 27001:2022. Наша команда приняла непосредственное участие в подготовке к сертификации и прохождении аудита.
#Privacy
#Сертификация
#ПолезноЗнать
👍12🔥3
Вопрос:
Как можно выполнить требование по «локализации» баз данных на территории России?
Ответ:
Согласно ч. 5 ст. 18 152-ФЗ, компании обязаны осуществлять первоначальный сбор персональных данных (ПДн) граждан РФ с использование баз данных (БД), находящихся на территории РФ, после чего ПДн могут быть переданы на территорию иностранного государства.
Ниже представлены примеры возможных способов реализации требования о «локализации» и их схематическое изображение.
Способ 1. Перенос всей обработки ПДн на территорию РФ
• БД и сервер приложения расположены на территории РФ. Весь цикл обработки ПДн осуществляется в них. Способ позволяет полностью выполнить требование о «локализации».
• Способ подойдет для приложений, основная аудитория которых граждане РФ.
• Может быть трудно реализуем для международных компаний.
Способ 2. Создание промежуточной базы данных на территории РФ
• Для первоначального сбора и актуализации ПДн граждан РФ создается дополнительная БД на территории РФ. После этого ПДн передаются в основную БД и на сервер приложения, которые находятся в иностранном государстве.
• При обращении к серверу приложения по IP-адресу, языковым настройкам, информации о местонахождении или другим параметрам определяется из какой страны пришел запрос, и ПДн заносятся в БД на территории РФ.
Способ 3. Локализация только базы данных на территории РФ
• БД приложения переносится в РФ, а сервер приложения остается в иностранном государстве.
Способ 4. Обезличивание данных
• Также возможен вариант, при котором на территорию иностранного государства передается обезличенный набор данных. Это позволяет выполнить требование о «локализации».
Ранее мы уже рассказывали о методах обезличивания ПДн.
#Privacy
Как можно выполнить требование по «локализации» баз данных на территории России?
Ответ:
Согласно ч. 5 ст. 18 152-ФЗ, компании обязаны осуществлять первоначальный сбор персональных данных (ПДн) граждан РФ с использование баз данных (БД), находящихся на территории РФ, после чего ПДн могут быть переданы на территорию иностранного государства.
Ниже представлены примеры возможных способов реализации требования о «локализации» и их схематическое изображение.
Способ 1. Перенос всей обработки ПДн на территорию РФ
• БД и сервер приложения расположены на территории РФ. Весь цикл обработки ПДн осуществляется в них. Способ позволяет полностью выполнить требование о «локализации».
• Способ подойдет для приложений, основная аудитория которых граждане РФ.
• Может быть трудно реализуем для международных компаний.
Способ 2. Создание промежуточной базы данных на территории РФ
• Для первоначального сбора и актуализации ПДн граждан РФ создается дополнительная БД на территории РФ. После этого ПДн передаются в основную БД и на сервер приложения, которые находятся в иностранном государстве.
• При обращении к серверу приложения по IP-адресу, языковым настройкам, информации о местонахождении или другим параметрам определяется из какой страны пришел запрос, и ПДн заносятся в БД на территории РФ.
Способ 3. Локализация только базы данных на территории РФ
• БД приложения переносится в РФ, а сервер приложения остается в иностранном государстве.
Способ 4. Обезличивание данных
• Также возможен вариант, при котором на территорию иностранного государства передается обезличенный набор данных. Это позволяет выполнить требование о «локализации».
Ранее мы уже рассказывали о методах обезличивания ПДн.
#Privacy
👍17
CISO & DPO news #27 (31 мая – 6 июня 2024 года)
1/8 Управление Роскомнадзора проверило таксопарки в Мурманской области.
2/8 ФСТЭК информирует о способах актуализации форм сведений об объектах КИИ.
3/8 Meta* оштрафована за несвоевременное оповещение пользователей об обработке данных.
4/8 Опубликован отчет об анализе DDoS-атак за первый квартал 2024 года.
5/8 NIST выпустил программу для безопасного внедрения ИИ-систем.
6/8 Фишинговый инструмент CryptoChameleon крадет данные пользователей.
7/8 Обнаружены две критические уязвимости в Telerik Report Server.
8/8 Опубликован отчет об основных тенденциях угроз в сфере ИБ на 2024 год.
1/8 Управление Роскомнадзора проверило таксопарки в Мурманской области.
2/8 ФСТЭК информирует о способах актуализации форм сведений об объектах КИИ.
3/8 Meta* оштрафована за несвоевременное оповещение пользователей об обработке данных.
4/8 Опубликован отчет об анализе DDoS-атак за первый квартал 2024 года.
5/8 NIST выпустил программу для безопасного внедрения ИИ-систем.
6/8 Фишинговый инструмент CryptoChameleon крадет данные пользователей.
7/8 Обнаружены две критические уязвимости в Telerik Report Server.
8/8 Опубликован отчет об основных тенденциях угроз в сфере ИБ на 2024 год.
👍12
Какой из протоколов используется для защиты данных, передаваемых по сетям Wi-Fi?
Anonymous Quiz
14%
SSL
72%
WPA3
6%
VPN
8%
SSH
🤔4👍1
В настоящее время наиболее современным протоколом безопасности беспроводных сетей является WPA3. Переход на WPA3 c более ранней версии WPA2 предоставляет значительные преимущества в области безопасности Wi-Fi сетей.
WPA3 превосходит своего предшественника WPA2 по нескольким ключевым направлениям:
• применяется 192-битное шифрование в WPA3 вместо 128-битного;
• использование протокола SAE (одновременная равноправная аутентификация) исключает возможность словарных офлайн-атак;
• метод прямой секретности позволяет защитить зашифрованный трафик маршрутизатора от перехвата и расшифровки в будущем,
• протокол шифрования OWE защищает открытые сети от атак типа «человек посередине».
Помимо преимуществ, следует упомянуть о недостатках протокола WPA3. В протоколе WPA3 в 2018 году нашли серию уязвимостей с названием DragonBlood, а в 2023 году - уязвимость SSID Confusion.
Общая идея атак, основанных на этих уязвимостях, заключается в понижении протокола безопасности и последующей эксплуатации уязвимостей.
Даже используя современный протокол безопасности WPA3, не забывайте использовать сложные пароли и периодически обновлять прошивку вашего роутера.
#ИБ
WPA3 превосходит своего предшественника WPA2 по нескольким ключевым направлениям:
• применяется 192-битное шифрование в WPA3 вместо 128-битного;
• использование протокола SAE (одновременная равноправная аутентификация) исключает возможность словарных офлайн-атак;
• метод прямой секретности позволяет защитить зашифрованный трафик маршрутизатора от перехвата и расшифровки в будущем,
• протокол шифрования OWE защищает открытые сети от атак типа «человек посередине».
Помимо преимуществ, следует упомянуть о недостатках протокола WPA3. В протоколе WPA3 в 2018 году нашли серию уязвимостей с названием DragonBlood, а в 2023 году - уязвимость SSID Confusion.
Общая идея атак, основанных на этих уязвимостях, заключается в понижении протокола безопасности и последующей эксплуатации уязвимостей.
Даже используя современный протокол безопасности WPA3, не забывайте использовать сложные пароли и периодически обновлять прошивку вашего роутера.
#ИБ
👍10
Оценка рисков ИБ – процесс определения возможных негативных для бизнеса событий, связанных с ИБ, и оценки вероятности их реализации с учетом принятых мер защиты.
Существуют различные методики оценки рисков, например, ISO, NIST RMF, РС БР ИББС-2.2-2009, ГОСТ Р ИСО/МЭК 27005, FAIR, ISF и др., которые делятся на качественные и количественные, а также их комбинации.
Основные этапы оценки рисков ИБ:
1. Определение активов и их ценности для бизнеса.
При качественной оценке определяются показатели критичности, при количественной – стоимость актива.
2. Анализ угроз и нарушителей.
Определяется актуальность угроз и сложность их эксплуатации, нарушители категорируются по потенциалу и уровню доступа к активам.
3. Определение применяемых к активам и угрозам мер защиты.
4. Анализ собранных данных для оценки степени вероятного ущерба.
• При качественном подходе рискам ИБ присваиваются качественные значения уровня критичности.
Качественный подход требует меньших ресурсов, т.к. допускает экспертную оценку факторов с минимумом расчетов.
• При количественном подходе вычисляется стоимость ущерба в случае реализации риска.
Количественный подход позволяет точнее соотнести стоимость внедрения мер со стоимостью потерь в случае реализации рисков.
5. Выбор способа обработки риска:
• Снижение (митигирование) риска – меры по снижению вероятности реализации риска или вероятного ущерба.
• Перенос (трансфер) риска – полная / частичная передача ответственности за последствия третьему лицу (например, страхование).
• Уход (уклонение) от риска – прекращение бизнес-процесса или отказ от системы.
• Принятие риска – осознанный отказ от любых действий по обработке риска.
6. Реализация выбранных мероприятий и регулярная переоценка рисков как по итогам принятых мер, так и в связи с изменяющимся ландшафтом угроз, а также непрерывных изменениях в бизнес-процессах и системах.
Таким образом, оценка рисков ИБ позволяет оценить соответствие применяемых мер защиты потребностям бизнеса и приоритизировать активности по развитию функции ИБ.
#ИБ
#ПолезноЗнать
Существуют различные методики оценки рисков, например, ISO, NIST RMF, РС БР ИББС-2.2-2009, ГОСТ Р ИСО/МЭК 27005, FAIR, ISF и др., которые делятся на качественные и количественные, а также их комбинации.
Основные этапы оценки рисков ИБ:
1. Определение активов и их ценности для бизнеса.
При качественной оценке определяются показатели критичности, при количественной – стоимость актива.
2. Анализ угроз и нарушителей.
Определяется актуальность угроз и сложность их эксплуатации, нарушители категорируются по потенциалу и уровню доступа к активам.
3. Определение применяемых к активам и угрозам мер защиты.
4. Анализ собранных данных для оценки степени вероятного ущерба.
• При качественном подходе рискам ИБ присваиваются качественные значения уровня критичности.
Качественный подход требует меньших ресурсов, т.к. допускает экспертную оценку факторов с минимумом расчетов.
• При количественном подходе вычисляется стоимость ущерба в случае реализации риска.
Количественный подход позволяет точнее соотнести стоимость внедрения мер со стоимостью потерь в случае реализации рисков.
5. Выбор способа обработки риска:
• Снижение (митигирование) риска – меры по снижению вероятности реализации риска или вероятного ущерба.
• Перенос (трансфер) риска – полная / частичная передача ответственности за последствия третьему лицу (например, страхование).
• Уход (уклонение) от риска – прекращение бизнес-процесса или отказ от системы.
• Принятие риска – осознанный отказ от любых действий по обработке риска.
6. Реализация выбранных мероприятий и регулярная переоценка рисков как по итогам принятых мер, так и в связи с изменяющимся ландшафтом угроз, а также непрерывных изменениях в бизнес-процессах и системах.
Таким образом, оценка рисков ИБ позволяет оценить соответствие применяемых мер защиты потребностям бизнеса и приоритизировать активности по развитию функции ИБ.
#ИБ
#ПолезноЗнать
👍8🔥1
4 июня завершился наш интенсив по персональным данным (ПДн). За 2 дня мы провели экспресс-погружение слушателей в сферу правового регулирования и обеспечения безопасности ПДн в России.
Наш курс разбит на модули, которые учитывают основные функции и задачи ответственного за организацию обработки ПДн в компании. Практические задания курса основаны на решении прикладных задач, с которыми работает ответственный за организацию обработки ПДн в ходе своей повседневной деятельности. Также участники решают кейсы, непосредственно связанные с их компаниями или сферой их деятельности.
На курсе эксперты Kept вместе со слушателями обсудили следующие темы по ПДн:
· Всегда ли требуется брать согласие на распространение ПДн.
· Порядок передачи ПДн, включая трансграничную передачу.
· Требования к обработке ПДн на сайте.
· Способы удаления ПДн на бумаге и в ИС.
· Подходы к обучению работников в области ПДн.
· Программа аудита системы защиты ПДн.
Спасибо всем слушателям за интересные вопросы и дискуссии!
Мы делаем акцент на живом общении и обсуждении вопросов, которые действительно волнуют наших участников, поэтому проводим именно очное обучение.
Содержание тренинга и регистрация на новый поток доступны по ссылке. Следующий интенсив пройдет 26-27 августа в нашем московском офисе.
#Privacy
Наш курс разбит на модули, которые учитывают основные функции и задачи ответственного за организацию обработки ПДн в компании. Практические задания курса основаны на решении прикладных задач, с которыми работает ответственный за организацию обработки ПДн в ходе своей повседневной деятельности. Также участники решают кейсы, непосредственно связанные с их компаниями или сферой их деятельности.
На курсе эксперты Kept вместе со слушателями обсудили следующие темы по ПДн:
· Всегда ли требуется брать согласие на распространение ПДн.
· Порядок передачи ПДн, включая трансграничную передачу.
· Требования к обработке ПДн на сайте.
· Способы удаления ПДн на бумаге и в ИС.
· Подходы к обучению работников в области ПДн.
· Программа аудита системы защиты ПДн.
Спасибо всем слушателям за интересные вопросы и дискуссии!
Мы делаем акцент на живом общении и обсуждении вопросов, которые действительно волнуют наших участников, поэтому проводим именно очное обучение.
Содержание тренинга и регистрация на новый поток доступны по ссылке. Следующий интенсив пройдет 26-27 августа в нашем московском офисе.
#Privacy
🔥13❤6