Вступило в силу 8 августа 2024 г.:
Федеральный закон от 08.08.2024 № 233-ФЗ о внесении изменений в 152-ФЗ и 123-ФЗ
· для кого: операторы ПДн.
· что делать: при уничтожении персональных данных (ПДн) использовать средства защиты информации, прошедших процедуру оценки соответствия, в составе которых реализована функция уничтожения информации.
Федеральный закон от 08.08.2024 № 216-ФЗ о внесении изменений в 149-ФЗ и 126-ФЗ
· для кого: организаторы сервиса обмена мгновенными сообщениями, владельцы соцсетей, операторы связи.
· что делать:
· организаторам сервиса обмена мгновенными сообщениями: предоставлять Роскомнадзору по требованию сведения о пользователях сервиса обмена мгновенными сообщениями;
· владельцам соцсетей:
- вести мониторинг информации, в том числе оскорбляющей человеческое достоинство и общественную нравственность;
- предоставлять по запросу Роскомнадзора сведения о пользователе соцсети;
- в случае если объем аудитории страницы (канала) больше 10 тыс. пользователей, то владельцу страницы необходимо идентифицировать себя перед Роскомнадзором.
· операторам связи: предоставлять по запросу Роскомнадзора информацию о средствах связи и оборудовании пользователей сети Интернет.
Вступило в силу 30 августа 2024 г.:
Приказ Минцифры России от 01.08.2024 № 682 о внесении изменения в перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой ПДн
· для кого: операторы ПДн, использующие рекомендательные технологии.
· что делать: действия от организации не требуются.
Приказом устанавливается новый индикатор в виде выявления в течение календарного года двух и более нарушений требований 149-ФЗ, связанных с применением рекомендательных технологий.
#ДеЮре
#ИБ
#Privacy
Федеральный закон от 08.08.2024 № 233-ФЗ о внесении изменений в 152-ФЗ и 123-ФЗ
· для кого: операторы ПДн.
· что делать: при уничтожении персональных данных (ПДн) использовать средства защиты информации, прошедших процедуру оценки соответствия, в составе которых реализована функция уничтожения информации.
Федеральный закон от 08.08.2024 № 216-ФЗ о внесении изменений в 149-ФЗ и 126-ФЗ
· для кого: организаторы сервиса обмена мгновенными сообщениями, владельцы соцсетей, операторы связи.
· что делать:
· организаторам сервиса обмена мгновенными сообщениями: предоставлять Роскомнадзору по требованию сведения о пользователях сервиса обмена мгновенными сообщениями;
· владельцам соцсетей:
- вести мониторинг информации, в том числе оскорбляющей человеческое достоинство и общественную нравственность;
- предоставлять по запросу Роскомнадзора сведения о пользователе соцсети;
- в случае если объем аудитории страницы (канала) больше 10 тыс. пользователей, то владельцу страницы необходимо идентифицировать себя перед Роскомнадзором.
· операторам связи: предоставлять по запросу Роскомнадзора информацию о средствах связи и оборудовании пользователей сети Интернет.
Вступило в силу 30 августа 2024 г.:
Приказ Минцифры России от 01.08.2024 № 682 о внесении изменения в перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой ПДн
· для кого: операторы ПДн, использующие рекомендательные технологии.
· что делать: действия от организации не требуются.
Приказом устанавливается новый индикатор в виде выявления в течение календарного года двух и более нарушений требований 149-ФЗ, связанных с применением рекомендательных технологий.
#ДеЮре
#ИБ
#Privacy
👍5❤3👏2
Вопрос:
Какие есть наиболее распространенные заблуждения об анонимизации?
Ответ:
О термине и о методах анонимизации мы рассказывали ранее. Сегодня мы рассмотрим ключевые заблуждения об анонимизированных данных, которые представлены в отчете Европейского органа по защите данных (EDPS) и Испанского агентства по защите данных (AEPD).
Миф 1. Псевдонимизация = анонимизации
Псевдонимизация позволяет идентифицировать субъекта ПДн через дополнительную информацию, при анонимизации это невозможно.
Миф 2. Шифрование — это анонимизация
Шифрованные ПДн могут быть расшифрованы что создает риски идентификации субъекта ПДн.
Миф 3. Все наборы ПДн подлежат анонимизации
Анонимизация применима не для всех задач и зависит от контекста обработки ПДн. При малой выборке ПДн анонимизация может не защитить от обратной идентификации ПДн.
Миф 4. Анонимизация – это необратимый процесс
В зависимости от метода анонимизации, с развитием технологий или получением новой информации ПДн могут быть деанонимизированы.
Миф 5. Анонимизация – это неизмеримое понятие
Степень анонимизации можно проанализировать и измерить. Вероятность деанонимизации ПДн зависит от возможности выделения ПДн, что следует учитывать при оценке рисков деанонимизации.
Миф 6. Возможна полная автоматизация анонимизации
Для проведения анонимизации допускается использование средств автоматизации, но данный процесс анонимизации должен находится под контролем эксперта.
Миф 7. Анонимизированные ПДн бесполезны
Анонимизированные ПДн могут быть полезны, например, для цели ведения статистики. Если анонимизация не подходит, то, например, можно вести обработку псевдонимизированных ПДн.
Миф 8. Применение процессов анонимизации иных компаний приведет к успеху
Процесс анонимизации не совпадать в разных компаниях, так как будет отличаться контекст обработки - характер, объем и цели обработки ПДн.
Миф 9. Деанонимизация не несет рисков
Деанонимизация ПДн может привести к раскрытию ПДн, в которых могут быть заинтересованы злоумышленники. В таком случае существуют риски нарушения прав субъектов ПДн.
#Privacy
#KeptОтвечает
Какие есть наиболее распространенные заблуждения об анонимизации?
Ответ:
О термине и о методах анонимизации мы рассказывали ранее. Сегодня мы рассмотрим ключевые заблуждения об анонимизированных данных, которые представлены в отчете Европейского органа по защите данных (EDPS) и Испанского агентства по защите данных (AEPD).
Миф 1. Псевдонимизация = анонимизации
Псевдонимизация позволяет идентифицировать субъекта ПДн через дополнительную информацию, при анонимизации это невозможно.
Миф 2. Шифрование — это анонимизация
Шифрованные ПДн могут быть расшифрованы что создает риски идентификации субъекта ПДн.
Миф 3. Все наборы ПДн подлежат анонимизации
Анонимизация применима не для всех задач и зависит от контекста обработки ПДн. При малой выборке ПДн анонимизация может не защитить от обратной идентификации ПДн.
Миф 4. Анонимизация – это необратимый процесс
В зависимости от метода анонимизации, с развитием технологий или получением новой информации ПДн могут быть деанонимизированы.
Миф 5. Анонимизация – это неизмеримое понятие
Степень анонимизации можно проанализировать и измерить. Вероятность деанонимизации ПДн зависит от возможности выделения ПДн, что следует учитывать при оценке рисков деанонимизации.
Миф 6. Возможна полная автоматизация анонимизации
Для проведения анонимизации допускается использование средств автоматизации, но данный процесс анонимизации должен находится под контролем эксперта.
Миф 7. Анонимизированные ПДн бесполезны
Анонимизированные ПДн могут быть полезны, например, для цели ведения статистики. Если анонимизация не подходит, то, например, можно вести обработку псевдонимизированных ПДн.
Миф 8. Применение процессов анонимизации иных компаний приведет к успеху
Процесс анонимизации не совпадать в разных компаниях, так как будет отличаться контекст обработки - характер, объем и цели обработки ПДн.
Миф 9. Деанонимизация не несет рисков
Деанонимизация ПДн может привести к раскрытию ПДн, в которых могут быть заинтересованы злоумышленники. В таком случае существуют риски нарушения прав субъектов ПДн.
#Privacy
#KeptОтвечает
👍8
CISO & DPO news #39 (23 - 29 августа 2024 года)
1/8 В Telegram зафиксирована новая мошенническая схема.
2/8 Мошенники подделывают номер Сбербанка в Viber.
3/8 Обнаружена новая фишинговая атака.
4/8 В плагине WPML для WordPress выявлена критическая уязвимость.
5/8 Предложена система компенсаций за утечки персональных данных.
6/8 Операторы связи могут получить возможность вносить данные граждан в ЕБС.
7/8 ICO опубликовал генератор уведомлений о конфиденциальности.
8/8 NIST обновил проект Руководства по цифровой идентификации.
1/8 В Telegram зафиксирована новая мошенническая схема.
2/8 Мошенники подделывают номер Сбербанка в Viber.
3/8 Обнаружена новая фишинговая атака.
4/8 В плагине WPML для WordPress выявлена критическая уязвимость.
5/8 Предложена система компенсаций за утечки персональных данных.
6/8 Операторы связи могут получить возможность вносить данные граждан в ЕБС.
7/8 ICO опубликовал генератор уведомлений о конфиденциальности.
8/8 NIST обновил проект Руководства по цифровой идентификации.
👍5❤3
Какое из следующих действий является наиболее эффективным способом повышения кибербезопасности в учебных заведениях?
Anonymous Quiz
18%
Запрет на использование личных устройств на территории кампуса
73%
Проведение регулярных обучающих семинаров по безопасности для студентов и преподавателей
5%
Установка антивирусного ПО только на компьютерах преподавателей
4%
Разрешение студентам использовать любые пароли без ограничений
👍3🤔1
В условиях, когда цифровые технологии стали неотъемлемой частью образовательного процесса, учебные заведения должны не только предоставлять знания, но и формировать у обучающихся киберграмотность. Повышение грамотности в области ИБ требует системного подхода, включающего несколько ключевых шагов:
1. Разработка образовательных программ по кибербезопасности.
Данные программы должны охватывать широкий спектр тем, включая:
• управление паролями;
• защиту персональных данных (ПДн);
• осознанное использование социальных сетей;
• распознавание фишинговых атак.
2. Обучение преподавателей и работников.
Учебные заведения должны регулярно проводить тренинги для персонала, чтобы работники понимали, как:
• защищать ПДн учащихся;
• соблюдать требования ИБ;
• эффективно реагировать на инциденты ИБ.
3. Интеграция культуры кибербезопасности в повседневную жизнь.
Для повышения эффективности ИБ важно внедрять практики кибербезопасности на постоянной основе, что достигается через:
• регулярные тренинги по ИБ для студентов и работников;
• симуляции кибератак для проверки готовности к реальным угрозам ИБ;
• периодические проверки систем ИБ учебного заведения.
4. Информирование и вовлечение родителей.
Важно, чтобы родители также участвовали в процессе обучения кибербезопасности. Они должны понимать, как защитить своих детей в интернете и как контролировать их онлайн-активность. Вовлечение родителей можно осуществлять через:
• информационные встречи;
• вебинары;
• регулярные рассылки с полезными рекомендациями.
#ИБ
1. Разработка образовательных программ по кибербезопасности.
Данные программы должны охватывать широкий спектр тем, включая:
• управление паролями;
• защиту персональных данных (ПДн);
• осознанное использование социальных сетей;
• распознавание фишинговых атак.
2. Обучение преподавателей и работников.
Учебные заведения должны регулярно проводить тренинги для персонала, чтобы работники понимали, как:
• защищать ПДн учащихся;
• соблюдать требования ИБ;
• эффективно реагировать на инциденты ИБ.
3. Интеграция культуры кибербезопасности в повседневную жизнь.
Для повышения эффективности ИБ важно внедрять практики кибербезопасности на постоянной основе, что достигается через:
• регулярные тренинги по ИБ для студентов и работников;
• симуляции кибератак для проверки готовности к реальным угрозам ИБ;
• периодические проверки систем ИБ учебного заведения.
4. Информирование и вовлечение родителей.
Важно, чтобы родители также участвовали в процессе обучения кибербезопасности. Они должны понимать, как защитить своих детей в интернете и как контролировать их онлайн-активность. Вовлечение родителей можно осуществлять через:
• информационные встречи;
• вебинары;
• регулярные рассылки с полезными рекомендациями.
#ИБ
👍7
Доксинг (doxing) — это сбор и публикация персональных или конфиденциальных данных о человеке без его согласия в злонамеренных целях. Такие данные могут содержать имя, адрес проживания, номер телефона, место работы, финансовые и другие личные данные. Доксинг может быть использован для запугивания, преследования или шантажа.
Чем опасен доксинг?
• Угроза безопасности.
Публикация личных данных может привести к угрозам и непосредственному физическому воздействию.
• Психологическое давление.
Жертвы доксинга часто испытывают стресс, тревогу и страх.
• Репутационные риски.
Личные данные могут быть использованы для причинения ущерба репутации из-за публикации неприятных скрытых фактов о человеке, клеветы или создания ложных нарративов.
Как защититься от доксинга?
• Ограничьте доступ к личным данным.
– Будьте внимательны к тому, какую информацию вы публикуете в социальных сетях.
– Настройте конфиденциальность профилей.
– Избегайте публикации информации о себе на форумах и в комментариях, где она может быть легко собрана.
• Используйте псевдонимы.
Если возможно, используйте никнеймы или псевдонимы вместо реальных имен при общении в интернете.
• Регулярно проверяйте свои настройки безопасности.
Убедитесь, что ваши аккаунты защищены надежными паролями и настроена многофакторная аутентификация.
• Мониторинг упоминаний.
Используйте специальные сервисы для отслеживания упоминаний вашего имени в интернете. Примером подобного сервиса может стать Google Alerts, отправляющий уведомления при появлении новых упоминаний заданных ключевых слов в интернете.
• Обратитесь за помощью.
Если вы стали жертвой доксинга, сообщите об этом в правоохранительные органы и службу поддержки платформы, где была опубликована личная информация
Доксинг может оказать существенное влияние на привычную жизнь человека, поэтому будьте внимательны к хранению и публикации информации о себе и принимайте меры для её защиты.
#ИБ
#ПолезноЗнать
Чем опасен доксинг?
• Угроза безопасности.
Публикация личных данных может привести к угрозам и непосредственному физическому воздействию.
• Психологическое давление.
Жертвы доксинга часто испытывают стресс, тревогу и страх.
• Репутационные риски.
Личные данные могут быть использованы для причинения ущерба репутации из-за публикации неприятных скрытых фактов о человеке, клеветы или создания ложных нарративов.
Как защититься от доксинга?
• Ограничьте доступ к личным данным.
– Будьте внимательны к тому, какую информацию вы публикуете в социальных сетях.
– Настройте конфиденциальность профилей.
– Избегайте публикации информации о себе на форумах и в комментариях, где она может быть легко собрана.
• Используйте псевдонимы.
Если возможно, используйте никнеймы или псевдонимы вместо реальных имен при общении в интернете.
• Регулярно проверяйте свои настройки безопасности.
Убедитесь, что ваши аккаунты защищены надежными паролями и настроена многофакторная аутентификация.
• Мониторинг упоминаний.
Используйте специальные сервисы для отслеживания упоминаний вашего имени в интернете. Примером подобного сервиса может стать Google Alerts, отправляющий уведомления при появлении новых упоминаний заданных ключевых слов в интернете.
• Обратитесь за помощью.
Если вы стали жертвой доксинга, сообщите об этом в правоохранительные органы и службу поддержки платформы, где была опубликована личная информация
Доксинг может оказать существенное влияние на привычную жизнь человека, поэтому будьте внимательны к хранению и публикации информации о себе и принимайте меры для её защиты.
#ИБ
#ПолезноЗнать
👍6❤3👏1
Вопрос:
Должны ли субъекты малого и среднего предпринимательства, а также индивидуальные предприниматели реализовывать требования 152-ФЗ?
Ответ:
Да, должны.
В соответствии с п. 2 ст. 3 152-ФЗ, оператором является любое физическое или юридическое лицо, осуществляющее обработку ПДн. В законодательстве не содержится исключений для субъектов малого и среднего предпринимательства (МСП).
Законодательство не предусматривает исключений для субъектов МСП и такие компании не освобождены от обязанностей, предусмотренных 152-ФЗ, в том числе, по регистрации в реестре операторов ПДн и опубликованию политики обработки ПДн.
Минцифры и Роскомнадзор придерживаются аналогичной позиции. В ответ на соответствующий запрос представители ведомств ответили, что если индивидуальный предприниматель осуществляет обработку ПДн, то на него будут распространяться требования 152-ФЗ и он обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн.
Для облегчения документарного сопровождения МСП в РФ функционирует сервис «конструктор документов Цифровой платформы МСП.РФ», который упрощает составление политики обработки ПДн, а также подачу уведомления в Роскомнадзор.
#Privacy
#KeptОтвечает
Должны ли субъекты малого и среднего предпринимательства, а также индивидуальные предприниматели реализовывать требования 152-ФЗ?
Ответ:
Да, должны.
В соответствии с п. 2 ст. 3 152-ФЗ, оператором является любое физическое или юридическое лицо, осуществляющее обработку ПДн. В законодательстве не содержится исключений для субъектов малого и среднего предпринимательства (МСП).
Законодательство не предусматривает исключений для субъектов МСП и такие компании не освобождены от обязанностей, предусмотренных 152-ФЗ, в том числе, по регистрации в реестре операторов ПДн и опубликованию политики обработки ПДн.
Минцифры и Роскомнадзор придерживаются аналогичной позиции. В ответ на соответствующий запрос представители ведомств ответили, что если индивидуальный предприниматель осуществляет обработку ПДн, то на него будут распространяться требования 152-ФЗ и он обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн.
Для облегчения документарного сопровождения МСП в РФ функционирует сервис «конструктор документов Цифровой платформы МСП.РФ», который упрощает составление политики обработки ПДн, а также подачу уведомления в Роскомнадзор.
#Privacy
#KeptОтвечает
👍6
CISO & DPO news #40 (2 - 6 сентября 2024 года)
1/8 В Малайзии вступил в силу закон о кибербезопасности.
2/8 За первую половину 2024 года в России утекло 986 млн персональных данных.
3/8 В Калифорнии принят закон о прозрачности данных для обучения генеративного ИИ.
4/8 Опубликовано исследование о защите данных в LLM
5/8 Устаревшие алгоритмы шифрования в Kerberos привели к уязвимостям в современных ОС.
6/8 Роскомнадзор предупредил операторов о последствиях препятствования замедлению YouTube.
7/8 В 2024 году возросла доля ИТ-преступлений, ущерб оценивается в 99 млрд рублей.
8/8 Крупнейшая DDoS-атака в истории Сбербанка.
1/8 В Малайзии вступил в силу закон о кибербезопасности.
2/8 За первую половину 2024 года в России утекло 986 млн персональных данных.
3/8 В Калифорнии принят закон о прозрачности данных для обучения генеративного ИИ.
4/8 Опубликовано исследование о защите данных в LLM
5/8 Устаревшие алгоритмы шифрования в Kerberos привели к уязвимостям в современных ОС.
6/8 Роскомнадзор предупредил операторов о последствиях препятствования замедлению YouTube.
7/8 В 2024 году возросла доля ИТ-преступлений, ущерб оценивается в 99 млрд рублей.
8/8 Крупнейшая DDoS-атака в истории Сбербанка.
👍5❤1