Вступило в силу 2 ноября 2024 г.:

Приказ Минцифры России от 16.09.2024 № 773 «Об утверждении перечня индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации»
▫️для кого: аккредитованные организации, осуществляющие аутентификацию на основе биометрических персональных данных физических лиц
▫️что делать:
🔸отслеживать и фиксировать случаи технических сбоев в работе аппаратных шифровальных средств, используемых аккредитованной организацией;
🔸отслеживать и фиксировать случаи ложного совпадения предоставленных биометрических персональных данных физического лица с векторами единой биометрической системы;
🔸отслеживать и фиксировать ошибки при обнаружении атак на биометрическое предъявление в процессе прохождения аутентификации

Вступило в силу 5 ноября 2024 г.:

Приказ ФСТЭК России от 28.08.2024 № 159 «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных ИС и Требования по обеспечению безопасности ЗОКИИ РФ»
▫️для кого: операторы государственных информационных систем и субъекты КИИ
▫️что делать:
🔸реализовать меры по защите ГИС и значимых объектов КИИ от атак, направленных на отказ в обслуживании;
🔸организовать взаимодействие с Центром мониторинга и управления сетью связи общего пользования, ГосСОПКА, а также с провайдерами хостинга и организациями, предоставляющими услуги связи;
🔸обеспечить расположение программно-аппаратных средств, участвующих в контроле, фильтрации и блокировании сетевых запросов на территории РФ

Вступило в силу 07 ноября 2024 г.:

Федеральный закон от 08.08.2024 № 253-ФЗ о внесении изменений, в том числе в Федеральный закон от 03.12.2008 № 242-ФЗ «О государственной геномной регистрации в Российской Федерации»
▫️для кого: суды, органы предварительного следствия, органы дознания и органы, осуществляющие оперативно-розыскную деятельность
▫️что можно делать: использовать биометрические персональные данные (геномную информацию), полученные в результате проведения государственной геномной регистрации, в целях установления личности иностранных граждан и лиц без гражданства

Опубликовано 14 ноября 2024 г.:

Порядок обеспечения государственных органов, органов местного самоуправления и организаций документами ФСТЭК России, в том числе содержащими сведения, составляющие государственную тайну, или иную информацию ограниченного доступа
▫️для кого: государственные органы, органы местного самоуправления, государственные корпорации и организации, находящиеся в ведении государственных корпораций, организации, не имеющие ведомственной принадлежности
▫️что можно сделать: учреждения могут приобрести документы ФСТЭК России, в том числе содержащих сведения, составляющие государственную тайну, или иной информации ограниченного доступа, путем направления в ФСТЭК России соответствующей заявки.

#Деюре

Согласно ч. 1 ст. 15 GDPR, пользователи имеют право запрашивать подтверждение относительно того, обрабатываются ли относящиеся к ним персональные данные (ПДн), а также информацию об обработке:
▫️цели обработки;
▫️категории ПДн;
▫️получатели ПДн;
▫️срок хранения ПДн;
▫️источник данных.

Согласно ч. 3 ст. 15 GDPR, пользователи также могут бесплатно запросить копию обрабатываемых ПДн. Прежде чем предоставить копию ПДн, вы должны убедиться, что это не повлияет на права и свободы других лиц (например, если в одном файле обрабатывается информация, касающаяся более чем одного лица, или информация, касающаяся коммерческой тайны и интеллектуальной собственности).

Верным ответом в викторине является «Копии обрабатываемых персональных данных в карточке работника», так как данный документ не содержит сведения о третьих лицах.

Рассмотрим иные варианты ответов:

1️⃣ Информация по совершенным сделкам с клиентами
GDPR защищает ПДн клиентов, а доступ к ним для бывшего сотрудника незаконен, так как это уже не относится к его рабочим обязанностям. Предоставление информации о сделках с клиентами раскрыло бы ПДн третьих лиц.

2️⃣ Список сотрудников компании, имевших доступ к его ПДн
Пользователи имеют право знать, кто обрабатывает их данные, но речь идёт о названии компаний (третьих лиц), а не о конкретных работниках. Несмотря на то, что GDPR акцентирует внимание на защите прав пользователей, нет нужды в раскрытии всех деталей структуры компании.

3️⃣ Лог-файлы системы безопасности
Лог-файлы содержат информацию об использовании систем и могут включать данные о доступах. Предоставление этих данных может нарушить права других лиц, чьи ПДн могут быть содержаться в лог-файлах. Доступ к лог-файлам может также представлять угрозу конфиденциальности ПДн работников компании, что противоречит общим требованиям по обеспечению безопасности ПДн, установленным в GDPR.

Узнать подробно о том, как европейский регулятор предлагает реализовывать данное право можно узнать в Руководстве EDBP.

#Privacy

Что такое СTF-турниры?

CTF (Capture the Flag) — это соревнования по кибербезопасности, где участники решают задачи на поиск уязвимостей, анализ данных и программирование. Такие мероприятия позволяют не только проверить свои знания, но и научиться новым техникам, востребованным в мире кибербезопасности.

CTF — это формат киберспортивных мероприятий, состоящих из набора задач, требующих технических знаний. В основе лежит идея «захвата флага» — цифрового маркера, который участник должен найти, чтобы получить очки. Такие соревнования часто организуются университетами и IT-компаниями.

Существует 2 самых популярных типа CTF соревнований:

1️⃣ Attack-Defense CTF
Это классический формат соревнования, целью которого является захват флага противника, а также защита флага своей команды. Такой формат является довольно сложным, а от этого и весьма интересным, так как он требует от участников использовать навыки администрирования и защиты сетей. Также необходимо уметь проникать в инфраструктуру противника, пытаясь найти заветный флаг. Первое мероприятие прошло в 1993 г. на конференции DEF CON, после чего данный формат соревнований стал популярен во всем мире.

2️⃣ Jeopardy CTF
Данный вид представляет собой викторину, в которой участники решают задачи из различных категорий: реверс инжиниринг, поиск веб-уязвимостей, решение заданий по криптографии и форензике и др.

Существуют также и иные виды соревнований, которые могут сочетать в себе сразу несколько типов CTF.

#ИБ
#ПолезноЗнать

12 декабря состоится масштабная конференция по информационной безопасности – КиберсЪезд, организованная совместно c Коммерсант Events.

▫️Мероприятие будет посвящено обсуждению нынешних реалий и перспектив российской отрасли информационной безопасности, прорывных технологий и методик в этой сфере, а также вопросам защиты на разных слоях деятельности организаций.

▫️Кроме того, формат мероприятия предоставляет возможность нетворкинга и кулуарного неформального общения в уютной и необычной атмосфере пространства, специально созданного и посвященного информационной безопасности во всех её проявлениях.

Программа мероприятия включает обсуждения по следующим тематикам:

🔸machine learning, искусственный интеллект и квантовые технологии в кибербезопасности
🔸вопросы обучения, психологии и карьеры в цифровом будущем
🔸перспективы российского экспорта в сфере ИБ
🔸опыт роста ИБ-компаний от стартапа до серьезного бизнеса
🔸различные модели обеспечения ИБ (вокруг данных и вокруг людей)

🔒 Мы также принимаем участие в этом мероприятии и презентуем результаты нашего исследования функций информационной безопасности и приватности в крупнейших российских компаниях (тизер этих результатов мы давали на нашей конференции в октябре).

Увидимся в Кибердоме!

#ИБ

Вопрос:

Какие существуют виды государственного контроля за обработкой персональных данных (ПДн)?

Ответ:

Основной регулятор по вопросам соблюдения требований законодательства в области ПДн – Роскомнадзор (РКН). Он осуществляет контроль в соответствии с Постановлением Правительства РФ № 1046. Важно отметить, что вопросы в области защиты ПДн находятся вне компетенций и полномочий РКН. Он осуществляет два типа проверок:

1️⃣ Профилактические мероприятия

Эти мероприятия направлены на разъяснение требований законодательства, информирование о потенциальных рисках нарушения, предоставление рекомендаций устранения нарушений. Основная цель таких мероприятий – предотвратить возможные нарушения законодательства операторами.

Могут проводиться следующие виды мероприятий:

🔸информирование;
🔸обобщение правоприменительной практики;
🔸объявление предостережения;
🔸консультирование;
🔸профилактический визит.

2️⃣ Контрольные (надзорные) мероприятия

Эти мероприятия направлены на проверку соответствия процессов обработки и защиты ПДн оператора требованиям законодательства в области ПДн. Основная цель таких мероприятий – проверка соблюдения оператором требований законодательства в области ПДн.

Контрольные мероприятия могут быть плановые и внеплановые, включая:

🔸инспекционный визит;
🔸документарная проверка;
🔸выездная проверка;
🔸без взаимодействия.

Стоит отметить, что Правительство РФ установило возможность проведения плановых проверок до 2030 г. только в отношении объектов, отнесённых к категориям чрезвычайно высокого и высокого риска причинения вреда, а также опасных производственных объектов и гидротехнических сооружений II класса опасности. Также проверка может быть проведена, если имел место компьютерный инцидент.

#Privacy
#KeptОтвечает