CISO & DPO news #28 (7-13 июня 2024 года)
1/8 Эксперты компании Zscaler сообщили о новой версии трояна ValleyRAT.
2/8 Microsoft прекращает поддержку сервиса удаленного доступа DirectAccess.
3/8 Критические уязвимости обнаружены в терминалах СКУД компании ZKTeco.
4/8 Уязвимость нулевого дня обнаружена в расширении дляChrome «EmailGPT».
5/8 На Meta* поданы жалобы в 11 странах Евросоюза.
6/8 Депутат Госдумы сообщил о планах введения «спецоператоров обработки персданных».
7/8 Бизнес выступил с критикой законопроекта об обороте персональных данных.
8/8 Компания МТС сообщила о мощной DDoS-атаке на свою сеть широкополосного доступа.
*Meta Platforms (Facebook) признана экстремистской организацией и запрещена в России
1/8 Эксперты компании Zscaler сообщили о новой версии трояна ValleyRAT.
2/8 Microsoft прекращает поддержку сервиса удаленного доступа DirectAccess.
3/8 Критические уязвимости обнаружены в терминалах СКУД компании ZKTeco.
4/8 Уязвимость нулевого дня обнаружена в расширении дляChrome «EmailGPT».
5/8 На Meta* поданы жалобы в 11 странах Евросоюза.
6/8 Депутат Госдумы сообщил о планах введения «спецоператоров обработки персданных».
7/8 Бизнес выступил с критикой законопроекта об обороте персональных данных.
8/8 Компания МТС сообщила о мощной DDoS-атаке на свою сеть широкополосного доступа.
*Meta Platforms (Facebook) признана экстремистской организацией и запрещена в России
👍9
Компания заключает договор с банком в части осуществления выплат зарплаты своим работникам. Какие роли в отношении обработки передаваемых персональных данных выполняют компания и банк?
Anonymous Quiz
32%
Компания – оператор, банк – обработчик персональных данных
61%
Компания и банк – операторы персональных данных
7%
Компания – обработчик, банк – оператор персональных данных
❤6👎1🤔1
В соответствии с 152-ФЗ, оператор – это юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных (ПДн), а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
Понятие «обработчик», указанное в викторине, введено для упрощения понимания ролей, так как в 152-ФЗ отсутствует такой термин. В ч. 3 ст. 6 152-ФЗ определено, что оператор вправе поручить обработку ПДн другому лицу с согласия субъекта, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.
Примером взаимодействия компаний в ролях «оператор» и «обработчик» может быть хранение ПДн в облаке при хостинге веб-сайта на мощностях контрагента (Обзор мероприятия Роскомнадзора для операторов стр. 16).
Так, компания и банк могут, к примеру, определять следующие цели обработки ПДн:
• для компании – осуществление выплат работникам;
• для банка – осуществление ряда банковских операций / транзакций.
В части определения средств обработки ПДн компания и банк принимают решение независимо друг от друга.
Таким образом, в рамках описанного в викторине процесса «выплаты работникам» компания и банк самостоятельно определяют цели и средства обработки ПДн, то есть они оба одновременно являются операторами. #Privacy
Понятие «обработчик», указанное в викторине, введено для упрощения понимания ролей, так как в 152-ФЗ отсутствует такой термин. В ч. 3 ст. 6 152-ФЗ определено, что оператор вправе поручить обработку ПДн другому лицу с согласия субъекта, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.
Примером взаимодействия компаний в ролях «оператор» и «обработчик» может быть хранение ПДн в облаке при хостинге веб-сайта на мощностях контрагента (Обзор мероприятия Роскомнадзора для операторов стр. 16).
Так, компания и банк могут, к примеру, определять следующие цели обработки ПДн:
• для компании – осуществление выплат работникам;
• для банка – осуществление ряда банковских операций / транзакций.
В части определения средств обработки ПДн компания и банк принимают решение независимо друг от друга.
Таким образом, в рамках описанного в викторине процесса «выплаты работникам» компания и банк самостоятельно определяют цели и средства обработки ПДн, то есть они оба одновременно являются операторами. #Privacy
👍10
В настоящее время уголовная ответственность за нарушение требований к порядку обработки персональных данных (ПДн) предусмотрена следующими нормами:
· Незаконный сбор или распространение ПДн лица без его согласия либо распространение этих сведений публично (ч. 1) и аналогичные деяния, совершенные лицом с использованием своего служебного положения (ч. 2) – ст. 137 УК РФ.
Например, лишение свободы врача на 2 года и штраф в размере 200 тыс. руб. за съемку скрытой камерой в кабинете врача.
· Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений (ч. 1, 2) – ст. 138 УК РФ.
Например, условное лишение свободы работника офиса обслуживания на 3 года за передачу сведений об абонентах и детализации телефонных соединений абонентских номеров оператора связи.
· Сбор, разглашение или использование ПДн, которые составляют, в том числе налоговую или банковскую тайну (ч. 1-4) – ст. 183 УК РФ.
Например, лишение свободы работника кредитной организации на 1 год и 6 месяцев за передачу ПДн клиентов, данных об их задолженностях и номеров банковских счетов.
· Неправомерный доступ к ПДн, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование ПДн (ч. 1-4) – ст. 272 УК РФ.
Например, штраф в размере 50 тыс. руб. за незаконный доступ к ПДн, содержащимся в электронной базе полюсов ОСАГО страховой компании.
Следует отметить, что в данный момент Госдума рассматривает законопроект о введении уголовной ответственности за действия (бездействия) операторов ПДн, повлекшие утечку ПДн.
Предполагается введение штрафов до 300 тыс. руб. либо лишение свободы до 4 лет.
Характер ответственности будет зависит от категории ПДн (специальные или биометрические), наличия трансграничной передачи, размера ущерба и умысла правонарушителя.
#Privacy
#ПолезноЗнать
· Незаконный сбор или распространение ПДн лица без его согласия либо распространение этих сведений публично (ч. 1) и аналогичные деяния, совершенные лицом с использованием своего служебного положения (ч. 2) – ст. 137 УК РФ.
Например, лишение свободы врача на 2 года и штраф в размере 200 тыс. руб. за съемку скрытой камерой в кабинете врача.
· Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений (ч. 1, 2) – ст. 138 УК РФ.
Например, условное лишение свободы работника офиса обслуживания на 3 года за передачу сведений об абонентах и детализации телефонных соединений абонентских номеров оператора связи.
· Сбор, разглашение или использование ПДн, которые составляют, в том числе налоговую или банковскую тайну (ч. 1-4) – ст. 183 УК РФ.
Например, лишение свободы работника кредитной организации на 1 год и 6 месяцев за передачу ПДн клиентов, данных об их задолженностях и номеров банковских счетов.
· Неправомерный доступ к ПДн, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование ПДн (ч. 1-4) – ст. 272 УК РФ.
Например, штраф в размере 50 тыс. руб. за незаконный доступ к ПДн, содержащимся в электронной базе полюсов ОСАГО страховой компании.
Следует отметить, что в данный момент Госдума рассматривает законопроект о введении уголовной ответственности за действия (бездействия) операторов ПДн, повлекшие утечку ПДн.
Предполагается введение штрафов до 300 тыс. руб. либо лишение свободы до 4 лет.
Характер ответственности будет зависит от категории ПДн (специальные или биометрические), наличия трансграничной передачи, размера ущерба и умысла правонарушителя.
#Privacy
#ПолезноЗнать
👍11
Kept приглашает на вебинар, на котором мы расскажем, как современные технологии помогают решать самые непростые задачи, связанные со сбором и анализом цифровых данных в рамках корпоративных расследований.
Программа:
▫️Что такое eDiscovery и Digital Forensic;
▫️Как и в каких случаях стоит применять методы eDiscovery и Digital Forensic при проведении корпоративных расследований;
▫️Как машинное обучение (Technology Assisted Review) помогает анализировать огромные объемы информации в рамках расследований;
▫️Особенности работы некоторых серверов электронной почты;
▫️Где и в каком виде на компьютере под управлением операционных систем Windows и Linux хранятся следы активности пользователя.
🟣Подробности и регистрация по ссылке.
Программа:
▫️Что такое eDiscovery и Digital Forensic;
▫️Как и в каких случаях стоит применять методы eDiscovery и Digital Forensic при проведении корпоративных расследований;
▫️Как машинное обучение (Technology Assisted Review) помогает анализировать огромные объемы информации в рамках расследований;
▫️Особенности работы некоторых серверов электронной почты;
▫️Где и в каком виде на компьютере под управлением операционных систем Windows и Linux хранятся следы активности пользователя.
🟣Подробности и регистрация по ссылке.
🔥9
Публикуем третий выпуск «Непропустимых» событий ИБ. Мы активно следим за интересными мероприятиями по тематике информационной безопасности и приватности. Сегодня представляем наши рекомендации на июль 2024 года.
Подборка мероприятий в файле под этим постом.
#Непропустимыесобытия
Подборка мероприятий в файле под этим постом.
#Непропустимыесобытия
👍9
Вопрос:
Каким образом субъекту КИИ правильно провести инвентаризацию процессов и систем?
Ответ:
После определения состава постоянно действующей комиссии по категорированию объектов критической информационной инфраструктуры (КИИ) компании, в соответствии с ч. а) п. 5 Постановления Правительства № 127, необходимо определить управленческие, технологические, производственные, финансово-экономические процессы.
Данную задачу мы предлагаем провести в форме инвентаризации процессов и систем компании, включающей в себя три этапа:
1. Подготовка.
2. Сбор информации.
3. Анализ собранной информации.
Этап подготовки включает в себя:
• Определение работников, ответственных за проведение инвентаризации.
• Составление плана инвентаризации, включающего в себя состав мероприятий, ответственных за их реализацию и сроки выполнения мероприятий.
• Определение основных бизнес процессов и направлений деятельности компании.
• Анализ организационной структуры компании и формирование плана интервью.
• Изучение документов (инструкции, процедуры и др.), описывающих порядок реализации процессов подразделений компании.
Этап сбора информации включает в себя:
• Проведение интервью с руководителями подразделений компании в целях установления направления их деятельности и получения сведений об используемых системах.
• Выявление бизнес-процессов компании (рекомендуется составлять схемы бизнес-процессов).
• Определение систем, используемых в рамках бизнес-процессов.
• Выявление третьих лиц, участвующих в работе бизнес-процессов и систем.
Этап анализа собранной информации включает в себя:
• Систематизацию собранной информации.
• Подготовку реестра бизнес-процессов компании.
В состав реестра рекомендуется также включать:
• наименование систем, функционирующих в рамках бизнес-процессов;
• сведения о третьих лицах, участвующих в бизнес-процессах.
Проведение инвентаризации позволяет получить более подробную картину бизнес-процессов компании и упростить реализацию последующих этапов категорирования.
#КИИ
Каким образом субъекту КИИ правильно провести инвентаризацию процессов и систем?
Ответ:
После определения состава постоянно действующей комиссии по категорированию объектов критической информационной инфраструктуры (КИИ) компании, в соответствии с ч. а) п. 5 Постановления Правительства № 127, необходимо определить управленческие, технологические, производственные, финансово-экономические процессы.
Данную задачу мы предлагаем провести в форме инвентаризации процессов и систем компании, включающей в себя три этапа:
1. Подготовка.
2. Сбор информации.
3. Анализ собранной информации.
Этап подготовки включает в себя:
• Определение работников, ответственных за проведение инвентаризации.
• Составление плана инвентаризации, включающего в себя состав мероприятий, ответственных за их реализацию и сроки выполнения мероприятий.
• Определение основных бизнес процессов и направлений деятельности компании.
• Анализ организационной структуры компании и формирование плана интервью.
• Изучение документов (инструкции, процедуры и др.), описывающих порядок реализации процессов подразделений компании.
Этап сбора информации включает в себя:
• Проведение интервью с руководителями подразделений компании в целях установления направления их деятельности и получения сведений об используемых системах.
• Выявление бизнес-процессов компании (рекомендуется составлять схемы бизнес-процессов).
• Определение систем, используемых в рамках бизнес-процессов.
• Выявление третьих лиц, участвующих в работе бизнес-процессов и систем.
Этап анализа собранной информации включает в себя:
• Систематизацию собранной информации.
• Подготовку реестра бизнес-процессов компании.
В состав реестра рекомендуется также включать:
• наименование систем, функционирующих в рамках бизнес-процессов;
• сведения о третьих лицах, участвующих в бизнес-процессах.
Проведение инвентаризации позволяет получить более подробную картину бизнес-процессов компании и упростить реализацию последующих этапов категорирования.
#КИИ
👍8
CISO & DPO news #29 (14-21 июня 2024 года)
1/8 Лаборатория Касперского оценила стойкость пользовательских паролей.
2/8 На Национальную систему платежных карт (НСПК) произведена DDoS-атака.
3/8 В роутерах D-link выявлена уязвимость, связанная с обходом аутентификации.
4/8 Выявлена кампания распространения вредоносов под видом взломанного ПО.
5/8 Внесены изменения в Указ Президента РФ № 250.
6/8 Представлены результаты тестирования риск-модели деобезличивания персданных.
7/8 Страны БРИКС и ШОС выступили с инициативой создания стандарта обмена информацией.
8/8 Беларусь присоединится к соглашению СНГ об обмене данными.
1/8 Лаборатория Касперского оценила стойкость пользовательских паролей.
2/8 На Национальную систему платежных карт (НСПК) произведена DDoS-атака.
3/8 В роутерах D-link выявлена уязвимость, связанная с обходом аутентификации.
4/8 Выявлена кампания распространения вредоносов под видом взломанного ПО.
5/8 Внесены изменения в Указ Президента РФ № 250.
6/8 Представлены результаты тестирования риск-модели деобезличивания персданных.
7/8 Страны БРИКС и ШОС выступили с инициативой создания стандарта обмена информацией.
8/8 Беларусь присоединится к соглашению СНГ об обмене данными.
👍7