CISO & DPO news #48 (1-10 ноября 2024 года)
1/8 На Московском авиационном узле введут биометрический контроль для иностранцев.
2/8 РКН: необходимо разработать отраслевые стандарты работы с данными.
3/8 «Госозеро» данных: власти смогут запрашивать у бизнеса обезличенные ПДн.
4/8 «Прятки» согласия на обработку ПДн предлагают закончить.
5/8 Хакеры используют DocuSign для массовой рассылки поддельных счетов.
6/8 Исследования показали рост количества атак на IT-специалистов.
7/8 Повышение расходов при разработке ПО.
8/8 Появление нового опасного трояна.
1/8 На Московском авиационном узле введут биометрический контроль для иностранцев.
2/8 РКН: необходимо разработать отраслевые стандарты работы с данными.
3/8 «Госозеро» данных: власти смогут запрашивать у бизнеса обезличенные ПДн.
4/8 «Прятки» согласия на обработку ПДн предлагают закончить.
5/8 Хакеры используют DocuSign для массовой рассылки поддельных счетов.
6/8 Исследования показали рост количества атак на IT-специалистов.
7/8 Повышение расходов при разработке ПО.
8/8 Появление нового опасного трояна.
👍3
С развитием цифровых технологий ПДн стали важным ресурсом для манипуляций. Компании и злоумышленники активно используют информацию о пользователях, чтобы влиять на их поведение, убеждения и предпочтения, что часто происходит незаметно для самих жертв и позволяет склонить их выбор в сторону, выгодную оператору. Цифровая форма газлайтинга выражается в психологических манипуляциях, совершаемых с целью влияния и манипулирования субъектом.
Одним из самых ярких примеров манипулирования пользователями с помощью сетевых алгоритмов и аналитики ПДн является дело Cambridge Analytica. В ходе предвыборной кампании в США, Cambridge Analytica собирала ПДн миллионов пользователей Facebook без их согласия, преимущественно для использования в политической рекламе.
Один из способов — манипуляция работниками с помощью обращения от имения генерального директора компании. Злоумышленники пишут с каким-либо вопросом и через манипуляции пытаются получить конфиденциальную информацию. Также практикуется эмоциональный газлайтинг, когда с помощью персонализированных сообщений подрывается уверенность человека в собственных убеждениях и мнениях, порой заставляя его сомневаться в собственной адекватности.
Чтобы ваши работники не стали жертвой манипуляций, регулярно напоминайте им ряд правил:
1️⃣ Контролируйте доступ к ПДн. Уменьшите количество ПДн, которыми делитесь в сети. Важно обратить внимание на то, что даже прохождение какого-либо тестирования в Интернете, такого как «Кто ты из игры престолов», уже позволяет злоумышленникам собрать информацию о вас.
2️⃣ Оценивайте достоверность информации. Проверяйте факты и источники, не полагайтесь на единичные или неподтверждённые сообщения.
3️⃣ Не поддавайтесь эмоциональному давлению. Если сообщения вызывают у вас сильные негативные чувства, сделайте паузу и проанализируйте, почему они оказали такое влияние.
Тщательное отношение к данным и бдительность помогут избежать негативного воздействия и сохранить контроль над своими решениями.
#Privacy
#ПолезноЗнать
Одним из самых ярких примеров манипулирования пользователями с помощью сетевых алгоритмов и аналитики ПДн является дело Cambridge Analytica. В ходе предвыборной кампании в США, Cambridge Analytica собирала ПДн миллионов пользователей Facebook без их согласия, преимущественно для использования в политической рекламе.
Один из способов — манипуляция работниками с помощью обращения от имения генерального директора компании. Злоумышленники пишут с каким-либо вопросом и через манипуляции пытаются получить конфиденциальную информацию. Также практикуется эмоциональный газлайтинг, когда с помощью персонализированных сообщений подрывается уверенность человека в собственных убеждениях и мнениях, порой заставляя его сомневаться в собственной адекватности.
Чтобы ваши работники не стали жертвой манипуляций, регулярно напоминайте им ряд правил:
Тщательное отношение к данным и бдительность помогут избежать негативного воздействия и сохранить контроль над своими решениями.
#Privacy
#ПолезноЗнать
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12
Публикуем восьмой выпуск «Непропустимых» событий ИБ. Мы активно следим за интересными мероприятиями по тематике информационной безопасности и приватности. Сегодня представляем наши рекомендации на декабрь 2024 года.
Подборка мероприятий в файле под этим постом⬇️
#Непропустимыесобытия
Подборка мероприятий в файле под этим постом
#Непропустимыесобытия
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7
Вопрос:
Как часто нужно проводить контроли и (или) аудит системы защиты ПДн?
Ответ:
Не реже 1 раза в 3 года (п. 17 ПП РФ №1119 )
Контроль и аудит системы защиты персональных данных (ПДн) следует проводить регулярно, чтобы подтвердить выполнение требований законодательства РФ в области ПДн. Обязанность проводить внутренний контроль и (или) аудит процессов обработки ПДн возлагается на компании в соответствии с п.4 ч.1 ст.18.1 152-ФЗ.
Аудит проводится на соответствие обработки:
🔸 требованиям 152-ФЗ и принятым в соответствии с ним НПА;
🔸 требованиям к защите ПДн (ПП РФ № 1119, Приказ ФСТЭК № 21, Приказ ФСБ № 378 и др.);
🔸 политике в отношении обработки ПДн;
🔸 локальным актам компании в области ПДн.
В 152-ФЗ и принятых в соответствии с ним подзаконных актах нет методики и (или) правил проведения контроля и аудита системы защиты ПДн. Внутренний контроль обычно проводится лицом, ответственным за организацию обработки ПДн. Такая обязанность возложена на него в соответствии с п.1 ч.4 ст. 22.1 152-ФЗ. Аудит системы защиты ПДн, в свою очередь, часто поручают внешней специализированной организации, чтобы обеспечить независимость выводов и результатов.
На что обратить внимание при выборе внешней организации для проведения аудита защиты ПДн:
🔸 Методология и подходы к работе
Узнайте, какими методами и инструментами пользуется аудиторская организация при проведении оценки системы защиты ПДн. Это могут быть международные стандарты (например, ISO/IEC 27001), российские ГОСТы или собственные методики.
🔸 Лицензии и сертификации
Проверьте наличие у компании необходимых лицензий (ФСТЭК России на работы в области ТЗКИ), а также сертификатов, подтверждающих порядок обработки ПДн внутри компании (например ISO 27701). Это важно, так как в ходе аудита внешняя организация будет иметь доступ к обрабатываемым в компании данным.
🔸 Опыт и репутация
Обратите внимание на то, сколько лет организация работает на рынке, какие проекты она уже реализовала и есть ли положительные отзывы от клиентов. Важно выбрать организацию с хорошей репутацией и опытом проведения аналогичных проектов.
🔸 Квалификация специалистов
Оцените квалификацию сотрудников аудитора. Желательно, чтобы специалисты имели профильное образование в области информационной безопасности или юриспруденции. Наличие профильных сертификатов также является преимуществом.
🔸 Прозрачность процесса
Убедитесь, что область аудита четко определена, а процесс его проведения понятен для вас. Привлекаемая организация должна регулярно предоставлять отчеты о ходе проведения работ. Результаты услуг должны быть обоснованы, а выявленные недостатки подтверждаться свидетельствами. Рекомендации по устранению выявленных недостатков, в свою очередь, должны быть понятными и реализуемыми.
Более подробно о плюсах и минусах привлечения внешних консультантов при решении задач в области приватности в рамках Евразийского конгресса по защите данных (EDPC) рассказывал Роман Мартинсон, руководитель направления по оказанию услуг в области персональных данных Kept. С видео можете ознакомиться по ссылке.
#Privacy
#KeptОтвечает
Как часто нужно проводить контроли и (или) аудит системы защиты ПДн?
Ответ:
Не реже 1 раза в 3 года (п. 17 ПП РФ №1119 )
Контроль и аудит системы защиты персональных данных (ПДн) следует проводить регулярно, чтобы подтвердить выполнение требований законодательства РФ в области ПДн. Обязанность проводить внутренний контроль и (или) аудит процессов обработки ПДн возлагается на компании в соответствии с п.4 ч.1 ст.18.1 152-ФЗ.
Аудит проводится на соответствие обработки:
В 152-ФЗ и принятых в соответствии с ним подзаконных актах нет методики и (или) правил проведения контроля и аудита системы защиты ПДн. Внутренний контроль обычно проводится лицом, ответственным за организацию обработки ПДн. Такая обязанность возложена на него в соответствии с п.1 ч.4 ст. 22.1 152-ФЗ. Аудит системы защиты ПДн, в свою очередь, часто поручают внешней специализированной организации, чтобы обеспечить независимость выводов и результатов.
На что обратить внимание при выборе внешней организации для проведения аудита защиты ПДн:
Узнайте, какими методами и инструментами пользуется аудиторская организация при проведении оценки системы защиты ПДн. Это могут быть международные стандарты (например, ISO/IEC 27001), российские ГОСТы или собственные методики.
Проверьте наличие у компании необходимых лицензий (ФСТЭК России на работы в области ТЗКИ), а также сертификатов, подтверждающих порядок обработки ПДн внутри компании (например ISO 27701). Это важно, так как в ходе аудита внешняя организация будет иметь доступ к обрабатываемым в компании данным.
Обратите внимание на то, сколько лет организация работает на рынке, какие проекты она уже реализовала и есть ли положительные отзывы от клиентов. Важно выбрать организацию с хорошей репутацией и опытом проведения аналогичных проектов.
Оцените квалификацию сотрудников аудитора. Желательно, чтобы специалисты имели профильное образование в области информационной безопасности или юриспруденции. Наличие профильных сертификатов также является преимуществом.
Убедитесь, что область аудита четко определена, а процесс его проведения понятен для вас. Привлекаемая организация должна регулярно предоставлять отчеты о ходе проведения работ. Результаты услуг должны быть обоснованы, а выявленные недостатки подтверждаться свидетельствами. Рекомендации по устранению выявленных недостатков, в свою очередь, должны быть понятными и реализуемыми.
Более подробно о плюсах и минусах привлечения внешних консультантов при решении задач в области приватности в рамках Евразийского конгресса по защите данных (EDPC) рассказывал Роман Мартинсон, руководитель направления по оказанию услуг в области персональных данных Kept. С видео можете ознакомиться по ссылке.
#Privacy
#KeptОтвечает
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8
CISO & DPO news #49 (10-15 ноября 2024 года)
1/9 В России могут появиться компенсации за утечки данных.
2/9 Более 600 млн записей утекли в сеть в 2024 году.
3/9 Александр Хинштейн дал интервью журналу «IT-manager».
4/9 Эксперты провели исследование безопасности повторно выданных сим-карт.
5/9 Данные 500 миллионов пользователей Instagram* оказались слиты.
6/9 Исследователи из Лаборатории Касперского обнаружили новый «штамм» ransomware.
7/9 Хакеры начали использовать поддельные страницы Google Meet и Zoom в рамках ClickFix.
8/9 Запрет на скрытое согласие на данные.
9/9 Принят новый ГОСТ об искусственном интеллекте.
*Запрещенная в РФ организация
1/9 В России могут появиться компенсации за утечки данных.
2/9 Более 600 млн записей утекли в сеть в 2024 году.
3/9 Александр Хинштейн дал интервью журналу «IT-manager».
4/9 Эксперты провели исследование безопасности повторно выданных сим-карт.
5/9 Данные 500 миллионов пользователей Instagram* оказались слиты.
6/9 Исследователи из Лаборатории Касперского обнаружили новый «штамм» ransomware.
7/9 Хакеры начали использовать поддельные страницы Google Meet и Zoom в рамках ClickFix.
8/9 Запрет на скрытое согласие на данные.
9/9 Принят новый ГОСТ об искусственном интеллекте.
*Запрещенная в РФ организация
👍5❤1