Children's Online Privacy Protection Act (COPPA) является одним из важнейших американских федеральных законов о неприкосновенности частной жизни. Действие закона направлено на регулирование обработки персональных данных (ПДн) детей в возрасте до 13 лет в Цифровом пространстве. Такая обработка чаще всего осуществляется онлайн сервисами, которые предусматривают наличие детской аудитории и находятся под юрисдикцией США.
В соответствии с COPPA, операторам, обрабатывающим ПДн детей необходимо предпринимать разумные меры защиты при обработке ПДн несовершеннолетних лиц. Так, компании должны реализовать следующие требования:

▫Получать явное согласие родителей или опекунов перед обработкой ПДн детей, что должно быть закреплено в политике конфиденциальности оператора. Помимо этого политика должна содержать информацию о том, как родители или опекуны могут контролировать обработку ПДн.
В частности, COPPA предусматривает право родителей и опекунов на запрос удаления ПДн детей.
▫Передавать ПДн только тем компаниям, которые демонстрируют способность обеспечить их безопасность и конфиденциальность.
▫Собирать только те ПДн, которые необходимы для достижения конкретных целей обработки ПДн. Избыточное хранение ПДн детей не допускается. После достижения целей обработки ПДн, они должны быть удалены.
▫Принимать разумные меры для защиты ПДн детей от несанкционированного доступа, использования или раскрытия. Данные меры могут включать:
🔸шифрование ПДн;
🔸аудит безопасности ПДн;
🔸обучение сотрудников правилам обработки ПДн детей;
🔸сотрудничество с независимыми организациями по защите ПДн.

Надзор за исполнением требований COPPA относятся к компетенции Федеральной торговой комиссии США (FTC).

#Privacy

➡️Kept Cyber&Privacy Conf 2024⬅️

Кто?
Норильский никель, РусАгро, Яндекс, Ozon, Альфа-Банк, ИЛИМ, Askona, ФосАгро, Whoosh, Хантфлоу, AstraZeneca, Туту, Банк ТРАСТ, Иннотех – это список компаний, эксперты из которых придут и обсудят с нами актуальные вопросы в области информационной безопасности и приватности.

Какие темы?
▶️Безопасность третьих сторон и цепочек поставок
▶️Особенности организации, управления и контроля ИБ в крупных холдингах
▶️Автоматизация обработки персональных данных
▶️Как выглядит приватность в 2024 году
▶️Применение ИТ-технологий при поиске активов и расследованиях
▶️Презентация Kept Privacy Framework
▶️Презентация результатов исследования Kept функций информационной безопасности и приватности в крупнейших компаниях России
▶️и многое другое.

Программа?
Выложена тут.

Когда?
15 октября 2024 г. с 10:00 до 17:00 по московскому времени.

Формат?
Онлайн-трансляция на платформе MTS Link.

Еще не зарегистрировался?
Регистрируйся по ссылке.

VPN (Виртуальная Частная Сеть) это технология, целью которой является установление зашифрованного безопасного соединения между устройством пользователя и сервером или между двумя серверами/маршрутизаторами.
 
VPN обеспечивает защиту интернет-трафика, перенаправляя его через удаленный сервер. Это позволяет маскировать данные и зашифровать их таким образом, что они становятся недоступными посторонним лицам, даже если их удастся перехватить. Доступ к информации в таком случае возможен только с помощью специального ключа, который расшифрует передаваемые данные.
 
Наиболее частыми сценариями использования VPN являются:
🔸удаленный доступ сотрудника к корпоративной сети;
🔸создание защищенного канала между разными сегментами сети;
🔸изменение местоположения.
 
К основным преимуществам технологии можно отнести:
🔸шифрование передаваемых данных;
🔸сохранение анонимности в Интернете;
🔸доступ к контенту по всему миру.
 
Компании, использующие VPN для предоставления удаленного доступа сотрудникам или для объединения серверов, могут столкнуться с блокировками Роскомнадзора. Для снятия таких ограничений необходимо обратиться в Минцифры, указав название компании, IP-адреса и используемые VPN-протоколы.
 
Для компаний вероятная блокировка VPN является не единственной проблемой. К ним также можно отнести:
🔸Сложность масштабирования – внедрение VPN для большого количества пользователей и устройств требует мощной инфраструктуры и сетевых ресурсов.
🔸Несовместимость с другими системами – VPN не всегда легко интегрируются в существующую корпоративную инфраструктуру, особенно в условиях использования облачных сервисов или гибридных решений.
🔸Снижение скорости соединения – при передаче данных через зашифрованные каналы их путь увеличивается, из-за чего скорость передачи может существенно снизиться.

#ИБ
#ПолезноЗнать

Вопрос:

Как определить объекты КИИ?

Ответ:

Информационные системы (ИС), автоматизированные системы управления (АСУ) и информационно-телекоммуникационные сети (ИТКС) могут являться объектами КИИ, если:
🔸используются для обработки информации, необходимой для обеспечения критического процесса;
🔸используются для управления, контроля или мониторинга критических процессов;
🔸упомянуты перечне типовых отраслевых объектов КИИ, которые издаются регуляторами соответствующих сфер деятельности.

Недавно из Постановления Правительства № 127 (ПП РФ № 127) была исключена процедура согласования со ФСТЭК России перечней объектов КИИ. При этом остался неизменным порядок, при котором субъекту КИИ по результатам определения критических процессов необходимо отнести ИС, АСУ и ИТКС к объектам КИИ.

Стоит отметить, что в настоящий момент опубликованы перечни типовых отраслевых объектов КИИ по следующим сферам:
🔸здравоохранения;
🔸транспорта;
🔸энергетики;
🔸оборонной промышленности;
🔸горнодобывающей промышленности;
🔸металлургической промышленности;
🔸химической промышленности.

Указанные типовые перечни отраслевых объектов КИИ могут использоваться как ориентир – то на что компаниям следует обратить внимание при отнесении ИС, АСУ и ИТКС к объектам КИИ.

#КИИ
#KeptОтвечает

Оценка уязвимостей — ключевой этап в процессе проведения тестирования на проникновение, целью которого является выявление слабых мест в информационных системах. Для стандартизации и упрощения процесса оценки часто используется методика CVSS (Common Vulnerability Scoring System) — общепринятая система оценки уязвимостей.

CVSS представляет собой методологию, позволяющую количественно оценить уязвимости на основе их характеристик и потенциального воздействия. Основные компоненты CVSS включают базовые, временные и контекстные метрики:

▫️Базовые метрики определяют первоначальную оценку уязвимости и включают такие параметры, как:

🔸Вектор атаки (Attack Vector, AV) — способ, которым атакующий может эксплуатировать уязвимость (например, локально или удаленно).

🔸Сложность атаки (Attack Complexity, AC) — уровень сложности, необходимый для успешной эксплуатации.

🔸Привилегии, необходимые для эксплуатации (Privileges Required, PR) — уровень доступа, необходимый атакующему.

🔸Пользовательское взаимодействие (User Interaction, UI) — необходимость участия пользователя для успешной атаки.

🔸Воздействие на конфиденциальность, целостность и доступность (Confidentiality, Integrity, Availability Impact) — потенциальные последствия для системы в случае успешной атаки.

▫️Временные метрики учитывают временные аспекты уязвимости, такие как наличие исправлений или уровень осведомленности о ней.

▫️Контекстные метрики позволяют адаптировать оценку уязвимости в зависимости от конкретных условий эксплуатации, таких как важность уязвимого компонента для бизнеса.

Использование CVSS в тестировании на проникновение позволяет объективно оценить уровень риска, связанный с выявленными уязвимостями, и приоритизировать их исправление. Это помогает организациям эффективно распределять ресурсы и принимать информированные решения по безопасности.

#Pentesting

«Соль» в криптографии — это случайная строка данных, которая передается хеш-функции в качестве дополнительных входных данных для вычисления хеша. «Соль» делает пароли более устойчивыми к взлому, когда злоумышленник получил доступ к базе данных с их хешами. Однако «соль» защищает только от офлайн-перебора при утечке хешей, но не влияет на онлайн перебор в формах авторизации, где злоумышленник может тестировать пароли напрямую через систему.

Принцип работы «соли»:

При создании каждого пароля система генерирует «соль», которая хранится вместе с хешем пароля в базе данных и добавляется к паролю, создавая уникальные входные данные для алгоритма хеширования. Далее хеш-функция хеширует комбинацию «соли» и входных данных.

При проверке пароля «соль» извлекается из базы данных, добавляется к введенному паролю, и процесс хеширования повторяется. Если полученный хеш совпадает с сохранённым хешем в базе, аутентификация пользователя проходит успешно.

Основные задачи, которые помогает решить «соль»:

▫️Защита от радужных таблиц: использование радужных таблиц (базы данных с предварительно вычисленными хэшами популярных паролей) становится бесполезным, так как добавление «соли» меняет результат хеширования.

▫️Минимизация рисков:

🔸в случае получения доступа к хешам паролей злоумышленнику придётся взламывать каждый пароль отдельно, поскольку их хеши будут разными.

🔸в случае использования разными пользователями одинаковых паролей, хеши одинаковых паролей с разными «солями» будут различаться, тем самым смягчая возможные последствия нарушения парольной политики.

Существует два основных типа «соли»:

▫️Статическая – это одна и та же «соль», которая используется для всех пользователей системы и обычно хранится в коде приложения или в конфигурации.

▫️Динамическая
(или персонализированная) – это «соль», которая генерируется индивидуально для каждого пользователя и добавляется к его паролю перед хешированием и хранится в базе данных вместе с хешем пароля.

#ИБ
#ПолезноЗнать

Вопрос:

Какие требования PCI DSS v.4.0 к шифрованию данных нужно выполнить в 2025 году?

Ответ:

31 марта 2022 г. был опубликован стандарт PCI DSS v.4.0, в котором обновились требования по обеспечению безопасности при защите данных платежных карт, в том числе в отношении шифрования. Часть требований вступает в силу с 31 марта 2025 г., среди которых:

▫️Шифрование данных при их хранении и передаче
Данные держателей карт должны быть защищены как при хранении, так и при передаче через публичные сети. Использование шифрования является обязательным.

▫️Управление ключами
Запрещается использовать одни и те же ключи в производственных и тестовых средах. Кроме того, необходимо применять одобренные генераторы случайных чисел.

▫️Критичные аутентификационные данные
Все важные аутентификационные данные (например, PIN, CVC2), хранящиеся до момента авторизации транзакции, должны быть защищены с использованием шифрования.

▫️Ограничения на шифрование на уровне диска
Шифрование на уровне диска разрешается только для съёмных носителей; в других ситуациях должны быть применены дополнительные меры по обеспечению безопасности данных.

▫️Контроль сертификатов
Необходимо регулярно проверять актуальность сертификатов, используемых для защиты информации при её передаче.

Следует учесть, что с 1 января 2025 г. вступят в силу требования, изложенные в Указе Президента РФ № 250, в части импортозамещения решений по защите информации из недружественных стран. Указанные требования распространяются, помимо прочих, на субъекты КИИ, функционирующие в банковской сфере и иных сферах финансового рынка.
Соответственно, субъектам КИИ при реализации требований PCI DSS 4.0 рекомендуется обратить внимание на положения Указа Президента РФ № 250 об импортозамещении и подбирать подходящие решения.

#ИБ
#KeptОтвечает