CISO & DPO news #37 (9 - 15 августа 2024 года)
1/8 Запущен отечественный сервис для проверки файлов на вредоносное ПО.
2/8 Обнаружены новые фишинговые атаки на российские организации и ИТ-компании.
3/8 Банк России опубликовал проект правок в Положение 757-П.
4/8 Роскомнадзор сообщил о требованиях для уполномоченных операторов персданных.
5/8 Представлен проект приказа Минстроя о внесении персданных жильцов в ГИС ЖКХ.
6/8 Подготовлен законопроект об ответственности за применение дипфейка.
7/8 Выявлен рост спроса на специалистов по ИБ.
8/8 ООН завершила работу над проектом Конвенции о киберпреступности.
1/8 Запущен отечественный сервис для проверки файлов на вредоносное ПО.
2/8 Обнаружены новые фишинговые атаки на российские организации и ИТ-компании.
3/8 Банк России опубликовал проект правок в Положение 757-П.
4/8 Роскомнадзор сообщил о требованиях для уполномоченных операторов персданных.
5/8 Представлен проект приказа Минстроя о внесении персданных жильцов в ГИС ЖКХ.
6/8 Подготовлен законопроект об ответственности за применение дипфейка.
7/8 Выявлен рост спроса на специалистов по ИБ.
8/8 ООН завершила работу над проектом Конвенции о киберпреступности.
👍6❤3🔥1
Что должно быть включено в поручение на обработку персональных данных?
Anonymous Quiz
25%
Цель поручения с указанием перечня обрабатываемых данных
1%
Требование по «локализации» баз данных
1%
Обязанность предоставить свидетельства, подтверждающие исполнение требований поручения
2%
Обязанность уведомлять оператора об инцидентах, связанных с персональными данными
70%
Все вышеперечисленное
🤔3
Требования к содержанию поручения на обработку персональных данных (ПДн), а также обязанности оператора ПДн, содержаться в ч. 3 – 6 ст. 6 152-ФЗ.
Можно выделить следующие характеристики поручения:
1) Предмет – осуществление обработки ПДн третьим лицом по правилам оператора.
2) Стороны – оператор и лицо, осуществляющее обработку по поручению оператора (тоже оператор в соответствии со 152-ФЗ).
3) Срок – с момента подписания поручения обеими сторонами, до наступления, предусмотренного поручением, определенного обстоятельства (достижение цели, сроков, уведомление от оператора и пр.).
4) Форма – государственный или муниципальный контракт; акт, принятый государственным или муниципальным органом; в виде договора / соглашения к договору.
Поручение должно включать в себя:
• Цели обработки ПДн.
• Перечень ПДн для каждой цели обработки ПДн.
• Перечень действий (операций) с ПДн.
• Обязанность обеспечения конфиденциальности и безопасности ПДн.
• Требование локализации баз данных ПДн.
• Обязанность принятия мер и обеспечения защиты ПДн согласно требованиям статей 18.1 и 19 152-ФЗ.
• Обязанность по запросу оператора ПДн в течение срока действия поручения оператора предоставить доказательства соответствия требованиям 152-ФЗ.
• Обязанность уведомить об установлении факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн согласно требованиям ч. 3.1 ст. 21 152-ФЗ (менее 24 часов).
• Ответственность сторон, санкции за нарушение положений поручения на обработку ПДн.
В следующий раз мы рассмотрим ситуации, когда (не) требуется заключать договор поручения на обработку ПДн и в чем разница между поручением и соглашением о передаче ПДн.
#Privacy
Можно выделить следующие характеристики поручения:
1) Предмет – осуществление обработки ПДн третьим лицом по правилам оператора.
2) Стороны – оператор и лицо, осуществляющее обработку по поручению оператора (тоже оператор в соответствии со 152-ФЗ).
3) Срок – с момента подписания поручения обеими сторонами, до наступления, предусмотренного поручением, определенного обстоятельства (достижение цели, сроков, уведомление от оператора и пр.).
4) Форма – государственный или муниципальный контракт; акт, принятый государственным или муниципальным органом; в виде договора / соглашения к договору.
Поручение должно включать в себя:
• Цели обработки ПДн.
• Перечень ПДн для каждой цели обработки ПДн.
• Перечень действий (операций) с ПДн.
• Обязанность обеспечения конфиденциальности и безопасности ПДн.
• Требование локализации баз данных ПДн.
• Обязанность принятия мер и обеспечения защиты ПДн согласно требованиям статей 18.1 и 19 152-ФЗ.
• Обязанность по запросу оператора ПДн в течение срока действия поручения оператора предоставить доказательства соответствия требованиям 152-ФЗ.
• Обязанность уведомить об установлении факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн согласно требованиям ч. 3.1 ст. 21 152-ФЗ (менее 24 часов).
• Ответственность сторон, санкции за нарушение положений поручения на обработку ПДн.
В следующий раз мы рассмотрим ситуации, когда (не) требуется заключать договор поручения на обработку ПДн и в чем разница между поручением и соглашением о передаче ПДн.
#Privacy
👍16
В соответствии с п. 1 ст. 18.1 152-ФЗ, оператор-юридическое лицо обязан назначить лицо, ответственное за организацию обработки персональных данных. Часто в РФ такое лицо называют DPO (Data Protection Officer), хотя термин исходит из GDPR (ст. 37).
Согласно ч. 4 ст. 22.1 152-ФЗ к основным обязанностям DPO относится:
· ведение внутреннего контроля соблюдения оператором законодательства РФ о персональных данных (ПДн);
· доведение до сведения работников оператора положений нормативных актов (в т.ч. локальных) о ПДн;
· организация приема и обработки обращений и запросов субъектов ПДн (их представителей) и контроль за данными мероприятиями.
Также в качестве мировой практики можно обратить внимание на задачи DPO (ст. 39 GDPR):
· консультирование работников компании в части исполнения требований законодательства при обработке ПДн;
· ведение контроля соблюдения требований GDPR, иных законов, а также локальных актов компании о ПДн;
· повышение осведомленности работников и их обучение компании в части обработки и защиты ПДн;
· предоставление консультаций при проведении в компании оценки воздействия на защиту ПДн (DPIA) и контроль проведения такой оценки;
· взаимодействие с надзорным органом в области обработки ПДн и представление в качестве контактного лица.
Законодательством РФ права DPO прямо не предусмотрены. При этом, в соответствии с ч. 2 и ч. 3 ст. 22.1152-ФЗ, компания должна обеспечить:
· подотчетность DPO напрямую исполнительному органу организации;
· предоставление доступа к информации, указанной в ч. 3 ст. 22 152-ФЗ.
Также исходя из лучших практик и Руководства для DPO, рекомендуется предоставлять DPO следующие права:
· независимость и неприкосновенность при исполнении своих обязанностей;
· получение необходимых документов у подразделений компании для организации обработки и защиты ПДн;
· принятие совместно с руководством компании решений о приостановке работ в случае утечки ПДн;
принятие участия в выборе подрядчиков для проведения работ по защите ПДн.
#Privacy
#ПолезноЗнать
Согласно ч. 4 ст. 22.1 152-ФЗ к основным обязанностям DPO относится:
· ведение внутреннего контроля соблюдения оператором законодательства РФ о персональных данных (ПДн);
· доведение до сведения работников оператора положений нормативных актов (в т.ч. локальных) о ПДн;
· организация приема и обработки обращений и запросов субъектов ПДн (их представителей) и контроль за данными мероприятиями.
Также в качестве мировой практики можно обратить внимание на задачи DPO (ст. 39 GDPR):
· консультирование работников компании в части исполнения требований законодательства при обработке ПДн;
· ведение контроля соблюдения требований GDPR, иных законов, а также локальных актов компании о ПДн;
· повышение осведомленности работников и их обучение компании в части обработки и защиты ПДн;
· предоставление консультаций при проведении в компании оценки воздействия на защиту ПДн (DPIA) и контроль проведения такой оценки;
· взаимодействие с надзорным органом в области обработки ПДн и представление в качестве контактного лица.
Законодательством РФ права DPO прямо не предусмотрены. При этом, в соответствии с ч. 2 и ч. 3 ст. 22.1152-ФЗ, компания должна обеспечить:
· подотчетность DPO напрямую исполнительному органу организации;
· предоставление доступа к информации, указанной в ч. 3 ст. 22 152-ФЗ.
Также исходя из лучших практик и Руководства для DPO, рекомендуется предоставлять DPO следующие права:
· независимость и неприкосновенность при исполнении своих обязанностей;
· получение необходимых документов у подразделений компании для организации обработки и защиты ПДн;
· принятие совместно с руководством компании решений о приостановке работ в случае утечки ПДн;
принятие участия в выборе подрядчиков для проведения работ по защите ПДн.
#Privacy
#ПолезноЗнать
👍6🔥4❤2
Вопрос:
Зачем нужен Business Continuity Plan?
Ответ:
Одним из важнейших аспектов управления непрерывностью бизнеса является план непрерывности бизнеса (Business Continuity Plan, BCP).
BCP направлен на обеспечение непрерывности бизнес-процессов и минимизацию последствий от непредвиденных событий, катастроф или кризисов, которые могут повлиять на работу компании.
При разработке BCP необходимо:
• Определить критически важные бизнес-процессы и системы.
• Оценить возможные угрозы и связанные с ними риски.
• Разработать стратегии и планы на случай различных сценариев развития событий.
• Определить требуемые для реализации планов ресурсы и инфраструктуру.
• Разработать процедуры и инструкции для сотрудников.
• Проводить тестирование и оценку планов.
• Регулярно обновлять и адаптировать планы.
BCP и ИБ тесно связаны в контексте обеспечения безопасности и устойчивости бизнес-процессов. ИБ обеспечивает защиту информации и систем, а BCP является планом действий, направленным на обеспечение непрерывности и минимизации последствий.
#ИБ
#KeptОтвечает
Зачем нужен Business Continuity Plan?
Ответ:
Одним из важнейших аспектов управления непрерывностью бизнеса является план непрерывности бизнеса (Business Continuity Plan, BCP).
BCP направлен на обеспечение непрерывности бизнес-процессов и минимизацию последствий от непредвиденных событий, катастроф или кризисов, которые могут повлиять на работу компании.
При разработке BCP необходимо:
• Определить критически важные бизнес-процессы и системы.
• Оценить возможные угрозы и связанные с ними риски.
• Разработать стратегии и планы на случай различных сценариев развития событий.
• Определить требуемые для реализации планов ресурсы и инфраструктуру.
• Разработать процедуры и инструкции для сотрудников.
• Проводить тестирование и оценку планов.
• Регулярно обновлять и адаптировать планы.
BCP и ИБ тесно связаны в контексте обеспечения безопасности и устойчивости бизнес-процессов. ИБ обеспечивает защиту информации и систем, а BCP является планом действий, направленным на обеспечение непрерывности и минимизации последствий.
#ИБ
#KeptОтвечает
👍6
CISO & DPO news #38 (16 - 22 августа 2024 года)
1/8 В России планируют легализовать деятельность белых хакеров.
2/8 Google устранила уязвимость нулевого дня в Chrome.
3/8 Обновление Microsoft вызвало проблемы с загрузкой Linux у пользователей Windows.
4/8 Злоумышленники продолжают использовать платежные карты несмотря на их блокировку.
5/8 Минтруд рассматривает принятие нового стандарта для специалистов по КИИ.
6/8 Дополнен перечень индикаторов риска в части обработки персональных данных.
7/8 Отмечен рост сумм компенсаций субъектам за утечки персональных данных.
8/8 Минобороны РФ расширило объем собираемых персональных данных призывников.
1/8 В России планируют легализовать деятельность белых хакеров.
2/8 Google устранила уязвимость нулевого дня в Chrome.
3/8 Обновление Microsoft вызвало проблемы с загрузкой Linux у пользователей Windows.
4/8 Злоумышленники продолжают использовать платежные карты несмотря на их блокировку.
5/8 Минтруд рассматривает принятие нового стандарта для специалистов по КИИ.
6/8 Дополнен перечень индикаторов риска в части обработки персональных данных.
7/8 Отмечен рост сумм компенсаций субъектам за утечки персональных данных.
8/8 Минобороны РФ расширило объем собираемых персональных данных призывников.
👍6
Хакер внедрил вредоносное программное обеспечение в веб-браузер пользователя. Как называется такой тип кибератаки?
Anonymous Quiz
60%
Browser hijacking
8%
Ransomware
9%
Drive-By Attack
23%
Browser-in-browser
🤔1
Кибератаки могут привести к серьёзным последствиям для организаций и частных лиц. В этом посте мы рассмотрим четыре распространённых вида кибератак с применением вредоносного ПО при использовании веб-браузеров:
1. Browser hijacking — это вид кибератаки с применением вредоносного ПО, которое изменяет настройки браузера без ведома пользователя. ПО может перенаправлять пользователя на вредоносные сайты, показывать рекламу или собирать личные данные.
2. Ransomware — это вид кибератаки с применением вредоносного ПО, которое блокирует доступ к данным пользователя и требует выкуп за их восстановление. Вредоносное ПО может зашифровать файлы и документы, делая их недоступными до тех пор, пока не будет выплачен выкуп.
3. Drive-By Attack — это вид кибератаки, при котором злоумышленник используют уязвимости веб-приложений, чтобы незаметно загрузить и установить на устройства пользователей вредоносное ПО.
4. Browser-in-browser — это вид кибератаки, при котором злоумышленники подделывают всплывающие окна в браузере. Для осуществления кибератаки используются готовые шаблоны для создания поддельных всплывающих окон. Также с помощью шаблонов настраиваются заголовки и URL-адреса для проведения данного типа кибератак.
Рассматривая атаку типа Browser hijacking, можно выявить основные признаки заражения вредоносным ПО:
• Смена используемой поисковой системы на мошеннические, например Search Marquis или Poshukach.
• Перенаправление на зараженные сайты с целью показа рекламы и кражи данных.
• Появление большого количества рекламы, в том числе и на доверенных сайтах.
• Смена домашней страницы браузера.
• Появление неизвестных расширений браузера.
• Замедление работы браузера.
#ИБ
1. Browser hijacking — это вид кибератаки с применением вредоносного ПО, которое изменяет настройки браузера без ведома пользователя. ПО может перенаправлять пользователя на вредоносные сайты, показывать рекламу или собирать личные данные.
2. Ransomware — это вид кибератаки с применением вредоносного ПО, которое блокирует доступ к данным пользователя и требует выкуп за их восстановление. Вредоносное ПО может зашифровать файлы и документы, делая их недоступными до тех пор, пока не будет выплачен выкуп.
3. Drive-By Attack — это вид кибератаки, при котором злоумышленник используют уязвимости веб-приложений, чтобы незаметно загрузить и установить на устройства пользователей вредоносное ПО.
4. Browser-in-browser — это вид кибератаки, при котором злоумышленники подделывают всплывающие окна в браузере. Для осуществления кибератаки используются готовые шаблоны для создания поддельных всплывающих окон. Также с помощью шаблонов настраиваются заголовки и URL-адреса для проведения данного типа кибератак.
Рассматривая атаку типа Browser hijacking, можно выявить основные признаки заражения вредоносным ПО:
• Смена используемой поисковой системы на мошеннические, например Search Marquis или Poshukach.
• Перенаправление на зараженные сайты с целью показа рекламы и кражи данных.
• Появление большого количества рекламы, в том числе и на доверенных сайтах.
• Смена домашней страницы браузера.
• Появление неизвестных расширений браузера.
• Замедление работы браузера.
#ИБ
👍4