Вступило в силу 03 июня 2024 г.:
Письмо Федерального казначейства от 17.05.2024 № 07-04-05/11-13417 об интеграции ИС УЦ с ГИС ЕБС
· для кого: заявители на выпуск сертификата ключа проверки электронной подписи (СКПЭП)
· что делать: подать запрос на выпуск СКПЭП через ГИС ЕБС
Опубликовано 05 июня 2024 г.:
Информационное сообщение ФСТЭК России от 27.05.2024 № 240/82/1376 о порядке представления субъектами КИИ сведений о результатах категорирования
· для кого: субъекты КИИ
· что делать: при изменении сведений о результатах категорирования объекта КИИ следует учесть рекомендации об информировании ФСТЭК России.
Вступило в силу 13 июня 2024 г.:
Указ Президента РФ от 13.06.2024 № 500 о внесении изменений в Указ Президента РФ от 01.05.2022 № 250
· для кого: органы госвласти, госфонды, госкорпорации, стратегические и системообразующие предприятия, а также субъекты КИИ
· что делать: принять к сведению сведения о новых полномочиях ФСБ России в отношении центров ГосСОПКА, а также учесть запрет использования услуг по ИБ из недружественных стран с 01.01.2025
Вступило в силу 18 июня 2024 г.:
Приказ Минэкономразвития России от 23.04.2024 № 247 об отнесении информации к общедоступной информации, размещаемой госорганами и органами местного самоуправления на своих веб-сайтах
· для кого: государственные органы, органы местного самоуправления
· что делать: при публикации на веб-сайтах открытых данных руководствоваться методическими указаниями
Опубликовано 22 июня 2024 г.:
Федеральный закон от 22.06.2024 № 158-ФЗ о внесении изменений в 149-ФЗ и 236-ФЗ
· для кого: иностранные операторы поисковых систем в сети Интернет, осуществляющих деятельность на территории РФ и не распространяющих рекламу, направленную на потребителей, находящихся на территории РФ
· что делать: быть готовыми реализовать требования потребителей об удалении их персональных данных из общего доступа («право на забвение»)
#ДеЮре
#ИБ
Письмо Федерального казначейства от 17.05.2024 № 07-04-05/11-13417 об интеграции ИС УЦ с ГИС ЕБС
· для кого: заявители на выпуск сертификата ключа проверки электронной подписи (СКПЭП)
· что делать: подать запрос на выпуск СКПЭП через ГИС ЕБС
Опубликовано 05 июня 2024 г.:
Информационное сообщение ФСТЭК России от 27.05.2024 № 240/82/1376 о порядке представления субъектами КИИ сведений о результатах категорирования
· для кого: субъекты КИИ
· что делать: при изменении сведений о результатах категорирования объекта КИИ следует учесть рекомендации об информировании ФСТЭК России.
Вступило в силу 13 июня 2024 г.:
Указ Президента РФ от 13.06.2024 № 500 о внесении изменений в Указ Президента РФ от 01.05.2022 № 250
· для кого: органы госвласти, госфонды, госкорпорации, стратегические и системообразующие предприятия, а также субъекты КИИ
· что делать: принять к сведению сведения о новых полномочиях ФСБ России в отношении центров ГосСОПКА, а также учесть запрет использования услуг по ИБ из недружественных стран с 01.01.2025
Вступило в силу 18 июня 2024 г.:
Приказ Минэкономразвития России от 23.04.2024 № 247 об отнесении информации к общедоступной информации, размещаемой госорганами и органами местного самоуправления на своих веб-сайтах
· для кого: государственные органы, органы местного самоуправления
· что делать: при публикации на веб-сайтах открытых данных руководствоваться методическими указаниями
Опубликовано 22 июня 2024 г.:
Федеральный закон от 22.06.2024 № 158-ФЗ о внесении изменений в 149-ФЗ и 236-ФЗ
· для кого: иностранные операторы поисковых систем в сети Интернет, осуществляющих деятельность на территории РФ и не распространяющих рекламу, направленную на потребителей, находящихся на территории РФ
· что делать: быть готовыми реализовать требования потребителей об удалении их персональных данных из общего доступа («право на забвение»)
#ДеЮре
#ИБ
👍9
Вопрос:
Распространяется ли 152-ФЗ при осуществлении парсинга?
Ответ:
Да, 152-ФЗ применяется при парсинге персональных данных (ПДн).
Несмотря на то, что действующим законодательством РФ не предусмотрено понятие «парсинг», суды определяют это понятие как:
· автоматизированный сбор информации с сайтов при помощи специальной программы;
· технический способ автоматизированной обработки информации из открытых источников по определенному алгоритму, без взломов и нарушения авторского права.
В первую очередь важно понять, будут ли собираться ПДн с веб-сайтов. Если компания планирует проводить сбор данных в состав которых будут входить ПДн, то тогда необходимо учесть требования по предоставлению доказательств получения правового основания (например, согласия на обработку ПДн субъекта (п. 3 ст. 9 152-ФЗ)).
При отсутствия указанных доказательств, для компании возникает риск привлечения к ответственности (ч. 1 ст. 13.11 КоАП РФ)
В свою очередь владелец веб-сайта может предпринимать попытки ограничения сбора ПДн, например, включить запрет использования автоматизированных скриптов для сбора информации в пользовательское соглашение веб-сайта.
Кроме того, введённая норма о распространении ПДн (ст. 10.1 152-ФЗ), о которой мы рассказывали ранее, предоставляет субъектам ПДн правовую защиту от незаконного сбора ПДн.
Также стоит упомянуть известный спор о парсинге ПДн - дело ВКонтакте против Double Data и Национального бюро кредитных историй. В результате судебных процессов Double Data и ВКонтакте пришли к мировому соглашению об уничтожении пользовательских данных, собранных Double Data, и не допущению сбора таких данных в будущем.
В итоге можно сделать вывод о необходимости соблюдать требования 152-ФЗ и подзаконных актов в области обработки и защиты ПДн при проведении парсинга ПДн. Применение технологий парсинга ПДн может быть связано с правовыми рисками и должно быть всесторонне оценено перед их использованием.
#Privacy
Распространяется ли 152-ФЗ при осуществлении парсинга?
Ответ:
Да, 152-ФЗ применяется при парсинге персональных данных (ПДн).
Несмотря на то, что действующим законодательством РФ не предусмотрено понятие «парсинг», суды определяют это понятие как:
· автоматизированный сбор информации с сайтов при помощи специальной программы;
· технический способ автоматизированной обработки информации из открытых источников по определенному алгоритму, без взломов и нарушения авторского права.
В первую очередь важно понять, будут ли собираться ПДн с веб-сайтов. Если компания планирует проводить сбор данных в состав которых будут входить ПДн, то тогда необходимо учесть требования по предоставлению доказательств получения правового основания (например, согласия на обработку ПДн субъекта (п. 3 ст. 9 152-ФЗ)).
При отсутствия указанных доказательств, для компании возникает риск привлечения к ответственности (ч. 1 ст. 13.11 КоАП РФ)
В свою очередь владелец веб-сайта может предпринимать попытки ограничения сбора ПДн, например, включить запрет использования автоматизированных скриптов для сбора информации в пользовательское соглашение веб-сайта.
Кроме того, введённая норма о распространении ПДн (ст. 10.1 152-ФЗ), о которой мы рассказывали ранее, предоставляет субъектам ПДн правовую защиту от незаконного сбора ПДн.
Также стоит упомянуть известный спор о парсинге ПДн - дело ВКонтакте против Double Data и Национального бюро кредитных историй. В результате судебных процессов Double Data и ВКонтакте пришли к мировому соглашению об уничтожении пользовательских данных, собранных Double Data, и не допущению сбора таких данных в будущем.
В итоге можно сделать вывод о необходимости соблюдать требования 152-ФЗ и подзаконных актов в области обработки и защиты ПДн при проведении парсинга ПДн. Применение технологий парсинга ПДн может быть связано с правовыми рисками и должно быть всесторонне оценено перед их использованием.
#Privacy
👍9🔥2
CISO & DPO news #30 (22-28 июня 2024 года)
1/8 Сообщается о росте фишинговых атак под видом техподдержки
2/8 Google представила архитектуру с использованием ИИ для поиска уязвимостей
3/8 Зафиксировано использование плагинов WordPress для проведения атак
4/8 Обнаружено новое вредоносное ПО для кражи данных в ОС Linux
5/8 Роскомнадзор предлагает издать инструкции и стандарты для операторов персданных
6/8 Роскомнадзор предлагает изменить основание обработки персданных на сайтах
7/8 Шведский банк оштрафован на €1,3 млн за недостаточные меры защиты персданных
8/8 Германия и Китай подписали декларацию об обмене данными
1/8 Сообщается о росте фишинговых атак под видом техподдержки
2/8 Google представила архитектуру с использованием ИИ для поиска уязвимостей
3/8 Зафиксировано использование плагинов WordPress для проведения атак
4/8 Обнаружено новое вредоносное ПО для кражи данных в ОС Linux
5/8 Роскомнадзор предлагает издать инструкции и стандарты для операторов персданных
6/8 Роскомнадзор предлагает изменить основание обработки персданных на сайтах
7/8 Шведский банк оштрафован на €1,3 млн за недостаточные меры защиты персданных
8/8 Германия и Китай подписали декларацию об обмене данными
👍7
Что из перечисленного является основным принципом модели безопасности Zero Trust?
Anonymous Quiz
3%
Полное доверие к пользователям, находящимся в офисе
7%
Автоматическое предоставление полного доступа всем аутентифицированным пользователям
73%
Предположение, что система уже скомпрометирована
17%
Запрет на передачу данных между пользователями
🔥3🤔2
Модель безопасности Zero Trust (нулевое доверие) основывается на принципе, что никакая часть информационной системы не должна доверять другой автоматически, независимо от того, находится ли она внутри периметра сети компании или вне его. Особенности модели:
• Отсутствие доверия - ни одному устройству или пользователю в сети компании нельзя доверять.
• Минимальные привилегии - доступ к ресурсам компании предоставляется на основе принципа минимальной необходимости.
• Многофакторная аутентификация - использование многофакторной аутентификации повышает уровень безопасности и снижает риск компрометации учетных данных.
• Микросегментация - сеть компании разбивается на мелкие сегменты для разграничения доступа и уменьшения потенциала для атак.
• Контроль и мониторинг - постоянный мониторинг и анализ всех действий пользователей и устройств для обнаружения подозрительной активности и аномалий.
Таким образом, модель Zero Trust предлагает комплексный подход к защите информационных систем, сетей и автоматизированных систем управления, фокусируясь на проверке и контроле всех действий.
#ИБ
• Отсутствие доверия - ни одному устройству или пользователю в сети компании нельзя доверять.
• Минимальные привилегии - доступ к ресурсам компании предоставляется на основе принципа минимальной необходимости.
• Многофакторная аутентификация - использование многофакторной аутентификации повышает уровень безопасности и снижает риск компрометации учетных данных.
• Микросегментация - сеть компании разбивается на мелкие сегменты для разграничения доступа и уменьшения потенциала для атак.
• Контроль и мониторинг - постоянный мониторинг и анализ всех действий пользователей и устройств для обнаружения подозрительной активности и аномалий.
Таким образом, модель Zero Trust предлагает комплексный подход к защите информационных систем, сетей и автоматизированных систем управления, фокусируясь на проверке и контроле всех действий.
#ИБ
👍13
В рамках Петербургского международного юридического форума (ПМЮФ) заместитель главы Роскомнадзора Милош Вагнер предложил (3:53) внести изменения в КоАП РФ в части внедрения механизмов добровольной денежной компенсации субъектам персональных данных (ПДн) в случае нарушения их прав операторами ПДн – так он видит реализацию «мягкого права» в области ПДн.
Термин «мягкое право» как определённый антипод «жёсткому праву» (hard law) в международном праве стал формироваться ещё в 70-х гг. XX в., и сегодня достаточно часто применяется в международных правоотношениях. Концепция включает в себя два основных вида норм права:
· декларативные, отсылочные и рекомендательные нормы, определенные в форме международно-правовых договоров, межгосударственных, межправительственных и ведомственных соглашений;
· нормы, содержащиеся в стандартах, кодексах, различных резолюциях международных органов и организаций.
В области ПДн концепция «мягкого права» может применяться, в частности, при обсуждении вопросов ответственности за утечки ПДн, использования правовых оснований обработки ПДн (законный интерес), сертификации и др.
Ознакомиться с мнениями других экспертов по данной теме вы сможете в статье Rspectr.
#Privacy
Термин «мягкое право» как определённый антипод «жёсткому праву» (hard law) в международном праве стал формироваться ещё в 70-х гг. XX в., и сегодня достаточно часто применяется в международных правоотношениях. Концепция включает в себя два основных вида норм права:
· декларативные, отсылочные и рекомендательные нормы, определенные в форме международно-правовых договоров, межгосударственных, межправительственных и ведомственных соглашений;
· нормы, содержащиеся в стандартах, кодексах, различных резолюциях международных органов и организаций.
В области ПДн концепция «мягкого права» может применяться, в частности, при обсуждении вопросов ответственности за утечки ПДн, использования правовых оснований обработки ПДн (законный интерес), сертификации и др.
Ознакомиться с мнениями других экспертов по данной теме вы сможете в статье Rspectr.
#Privacy
👍11❤1
Open Source Intelligence (OSINT) — легитимная разведывательная деятельность, включающая сбор и анализ информации из открытых источников (сайты, блоги, социальные сети, отчеты, репозитории, публичные реестры, базы данных и т.п.).
OSINT используется для поиска данных, которые могут быть использованы в аналитических и стратегических целях, и создания обоснованных выводов об объекте поиска.
В состав основных техник и инструментов OSINT входят:
· Поисковые системы: Google, Bing, Yandex и др.
· Инструменты для мониторинга и анализа данных из социальных сетей: Hootsuite, Mention, Brandwatch и др.
· Географические карты и инструменты для анализа и визуализации географических данных.
· Инструменты для автоматизированного сбора данных с веб-сайтов: Beautiful Soup, Scrapy, Maltego и др.
Область применения OSINT достаточно обширна и включает в себя:
· информационную безопасность;
· аналитику и конкурентную разведку;
· корпоративные расследования и криминалистику;
· журналистику;
· академические исследования.
В следующий раз мы рассмотрим OSINT в контексте информационной безопасности — анализ информации о новых угрозах, мониторинг утечек конфиденциальной информации и проверка сотрудников и поставщиков услуг.
#ПолезноЗнать
OSINT используется для поиска данных, которые могут быть использованы в аналитических и стратегических целях, и создания обоснованных выводов об объекте поиска.
В состав основных техник и инструментов OSINT входят:
· Поисковые системы: Google, Bing, Yandex и др.
· Инструменты для мониторинга и анализа данных из социальных сетей: Hootsuite, Mention, Brandwatch и др.
· Географические карты и инструменты для анализа и визуализации географических данных.
· Инструменты для автоматизированного сбора данных с веб-сайтов: Beautiful Soup, Scrapy, Maltego и др.
Область применения OSINT достаточно обширна и включает в себя:
· информационную безопасность;
· аналитику и конкурентную разведку;
· корпоративные расследования и криминалистику;
· журналистику;
· академические исследования.
В следующий раз мы рассмотрим OSINT в контексте информационной безопасности — анализ информации о новых угрозах, мониторинг утечек конфиденциальной информации и проверка сотрудников и поставщиков услуг.
#ПолезноЗнать
❤8👍5🔥2
Олег Безик, старший менеджер, руководитель направления компьютерной криминалистики группы по оказанию услуг в области кибербезопасности компании Kept принял участие в дискуссии (1:34:16) на тему «Криминалистика для правосудия будущего» на Петербургском международном юридическом форуме.
В ходе дискуссии обсуждались актуальные вызовы, связанные с российской и международной преступностью, а также использованием соответствующих криминалистических технологий для борьбы с преступностью.
В своем выступлении Олег отметил следующие тенденции в сфере компьютерных преступлений:
· Добавление политической подоплеки как цели проведения кибератаки.
Ранее главными целями являлись корыстные интересы.
· Рост числа хакерских атак на малый бизнес.
Ранее таким атакам подвергались в основном крупные компании.
· Активное проведение компьютерных атак на учетные записи пользователей в мессенджерах.
· Рост компетенций злоумышленников, что повышает опасность компьютерных атак, а также снижает количество оставляемых следов атаки, что усложняет расследование.
· Снижение цен и упрощение приобретения инструментов для злоумышленников приводит к доступности таких средств.
Также Олег рассказал о текущих сложностях в работе криминалистов:
· Отсутствуют подходящие отечественные варианты взамен ушедших иностранных решений, в частности, ПО, проводящего анализ данных из файловых систем. Данное положение дел приводит к ситуации, когда криминалисты используют ПО без поддержки или устаревшие версии ПО.
· В науке криминалистика отсутствует техника «цифровая криминалистика», что приводит к ситуации, когда студенты – будущие следователи и дознаватели – не получают необходимых знаний и навыков для расследования киберпреступлений.
Для этого необходимо на основе «лучших практик» выработать предложения о соответствующих дополнениях в образовательные программы, чтобы повысить эффективность расследования киберпреступлений.
#eDiscovery
В ходе дискуссии обсуждались актуальные вызовы, связанные с российской и международной преступностью, а также использованием соответствующих криминалистических технологий для борьбы с преступностью.
В своем выступлении Олег отметил следующие тенденции в сфере компьютерных преступлений:
· Добавление политической подоплеки как цели проведения кибератаки.
Ранее главными целями являлись корыстные интересы.
· Рост числа хакерских атак на малый бизнес.
Ранее таким атакам подвергались в основном крупные компании.
· Активное проведение компьютерных атак на учетные записи пользователей в мессенджерах.
· Рост компетенций злоумышленников, что повышает опасность компьютерных атак, а также снижает количество оставляемых следов атаки, что усложняет расследование.
· Снижение цен и упрощение приобретения инструментов для злоумышленников приводит к доступности таких средств.
Также Олег рассказал о текущих сложностях в работе криминалистов:
· Отсутствуют подходящие отечественные варианты взамен ушедших иностранных решений, в частности, ПО, проводящего анализ данных из файловых систем. Данное положение дел приводит к ситуации, когда криминалисты используют ПО без поддержки или устаревшие версии ПО.
· В науке криминалистика отсутствует техника «цифровая криминалистика», что приводит к ситуации, когда студенты – будущие следователи и дознаватели – не получают необходимых знаний и навыков для расследования киберпреступлений.
Для этого необходимо на основе «лучших практик» выработать предложения о соответствующих дополнениях в образовательные программы, чтобы повысить эффективность расследования киберпреступлений.
#eDiscovery
❤10👍4🔥2
Вопрос:
Как защитить коммерческую тайну с точки зрения ИБ?
Ответ:
Коммерческая тайна, согласно ч. 1 ст. 3 98-ФЗ, это режим конфиденциальности информации, позволяющий их обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.
Чтобы присвоить информации статус коммерческой тайны компании необходимо ввести режим коммерческой тайны. Для этого следует внедрить следующие организационные меры:
1. Утвердить документы, определяющие:
· перечень информации, составляющей коммерческую тайну (КТ);
· порядок обработки КТ;
· перечень работников, которые имеют право обрабатывать КТ.
2. Установить права, обязанности и ответственность работников, обрабатывающих КТ путем подписания соглашения о неразглашении КТ или путем внесения соответствующих положений в трудовые договоры.
В случае если при взаимодействии с контрагентами ведется обработка КТ, следует отражать соответствующие положения в договорах с контрагентами.
3. Маркировать электронные и физические носители КТ грифом, например, «Коммерческая тайна. ООО «Компания».
Вместе с организационными мерами следует также внедрять и технические меры защиты КТ:
1. Ограничить доступы к системам, обрабатывающим КТ. Например, создать пул ролей пользователей.
2. Применять средства защиты информации такие как DLP-системы, средства защиты от НСД и др.
3. Обеспечить ограничение физического доступа и его контроль в помещения, в которых ведется обработка КТ (СКУД, видеонаблюдение).
#КТ
Как защитить коммерческую тайну с точки зрения ИБ?
Ответ:
Коммерческая тайна, согласно ч. 1 ст. 3 98-ФЗ, это режим конфиденциальности информации, позволяющий их обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.
Чтобы присвоить информации статус коммерческой тайны компании необходимо ввести режим коммерческой тайны. Для этого следует внедрить следующие организационные меры:
1. Утвердить документы, определяющие:
· перечень информации, составляющей коммерческую тайну (КТ);
· порядок обработки КТ;
· перечень работников, которые имеют право обрабатывать КТ.
2. Установить права, обязанности и ответственность работников, обрабатывающих КТ путем подписания соглашения о неразглашении КТ или путем внесения соответствующих положений в трудовые договоры.
В случае если при взаимодействии с контрагентами ведется обработка КТ, следует отражать соответствующие положения в договорах с контрагентами.
3. Маркировать электронные и физические носители КТ грифом, например, «Коммерческая тайна. ООО «Компания».
Вместе с организационными мерами следует также внедрять и технические меры защиты КТ:
1. Ограничить доступы к системам, обрабатывающим КТ. Например, создать пул ролей пользователей.
2. Применять средства защиты информации такие как DLP-системы, средства защиты от НСД и др.
3. Обеспечить ограничение физического доступа и его контроль в помещения, в которых ведется обработка КТ (СКУД, видеонаблюдение).
#КТ
👍8❤2🔥2