CISO & DPO news #56 (29 декабря 2024 года - 9 января 2025 года)
1/8 Количество переходов по фишинговым ссылкам в 2024 г. увеличилось втрое.
2/8 Росреестр отрицает утечку данных из ЕГРН.
3/8 Компания Casio опубликовала результаты расследования утечки данных.
4/8 Хакеры взломали поставщика геоданных Gravy Analytics.
5/8 Внесены изменения в порядок перехода субъектов КИИ на доверенные ПАК.
6/8 Начали действовать ограничения на использование иностранного ПО субъектами КИИ.
7/8 Еврокомиссия оштрафована за нарушение требований GDPR.
8/8 Обнаружена массовая утечка данных владельцев электромобилей VW.
1/8 Количество переходов по фишинговым ссылкам в 2024 г. увеличилось втрое.
2/8 Росреестр отрицает утечку данных из ЕГРН.
3/8 Компания Casio опубликовала результаты расследования утечки данных.
4/8 Хакеры взломали поставщика геоданных Gravy Analytics.
5/8 Внесены изменения в порядок перехода субъектов КИИ на доверенные ПАК.
6/8 Начали действовать ограничения на использование иностранного ПО субъектами КИИ.
7/8 Еврокомиссия оштрафована за нарушение требований GDPR.
8/8 Обнаружена массовая утечка данных владельцев электромобилей VW.
👍5
Каким образом на российских интернет-ресурсах должна быть предусмотрена возможность авторизации пользователей из России согласно требованиям законодательства РФ?
Anonymous Quiz
6%
Авторизация по мобильному номеру телефона
5%
Авторизация через сервис авторизации, предоставляемый российским юридическим лицом
18%
Авторизация через Единую систему идентификации и аутентификации (ЕСИА)
2%
Авторизация через Единую биометрическую систему (ЕБС)
69%
Все перечисленные варианты
❤1🤔1
1 января 2025 г. завершился переходный период, в течение которого была возможна авторизация пользователей на веб-сайтах, интернет-ресурсах, информационных системах, программах для электронных вычислительных машин (далее – Веб-ресурсы) через почтовые сервисы и сервисы авторизации, принадлежащие иностранным лицам.
Так, если владелец Веб-ресурса является юридическим лицом РФ или гражданином РФ и если Веб-ресурс предоставляет авторизацию в нем пользователям из РФ, то на владельца Веб-ресурса налагаются требования по авторизации пользователей, находящихся на территории РФ (ч. 10 ст. 8 149-ФЗ).
Если к владельцу Веб-ресурса применимы требования, то авторизация пользователей проводиться одним из следующих способов:
1️⃣ по мобильному номеру телефона;
2️⃣ через Единую систему идентификации и аутентификации;
3️⃣ с помощью Единой биометрической системой;
4️⃣ через иную информационную систему, обеспечивающую авторизацию пользователей и принадлежащую российскому юридическому лицу (как минимум на 50% находящегося под российским контролем).
В 149-ФЗ отсутствует определение термина «авторизация». При этом согласно пункту 3.50 ГОСТ Р 58833 – 2020, предусмотрено понятие авторизации – предоставление субъекту доступа прав доступа на выполнение определенных действий в информационной системе (ИС), а также предоставление доступа в соответствии с установленными правилами управления доступом.
Авторизации предшествует идентификация – выявление идентификатора, который однозначно определяет этого субъекта, а также аутентификация – подтверждение подлинности субъекта путем сравнение введенного пароля с сохраненным в ИС паролем.
Стоит отметить, что пользователи, которые были зарегистрированы до вступления в силу изменений в 149-ФЗ (1 декабря 2023 г.) на российских Веб-ресурсах с использованием иностранных информационных систем, обеспечивающих авторизацию пользователей, не требуется перерегистрироваться по новым требованиям, т.к. закон не имеет обратной силы.
В следующий раз мы расскажем об особенностях исполнения требований ч. 10 ст. 8 149-ФЗ на практике.
#ИБ
Так, если владелец Веб-ресурса является юридическим лицом РФ или гражданином РФ и если Веб-ресурс предоставляет авторизацию в нем пользователям из РФ, то на владельца Веб-ресурса налагаются требования по авторизации пользователей, находящихся на территории РФ (ч. 10 ст. 8 149-ФЗ).
Если к владельцу Веб-ресурса применимы требования, то авторизация пользователей проводиться одним из следующих способов:
В 149-ФЗ отсутствует определение термина «авторизация». При этом согласно пункту 3.50 ГОСТ Р 58833 – 2020, предусмотрено понятие авторизации – предоставление субъекту доступа прав доступа на выполнение определенных действий в информационной системе (ИС), а также предоставление доступа в соответствии с установленными правилами управления доступом.
Авторизации предшествует идентификация – выявление идентификатора, который однозначно определяет этого субъекта, а также аутентификация – подтверждение подлинности субъекта путем сравнение введенного пароля с сохраненным в ИС паролем.
Стоит отметить, что пользователи, которые были зарегистрированы до вступления в силу изменений в 149-ФЗ (1 декабря 2023 г.) на российских Веб-ресурсах с использованием иностранных информационных систем, обеспечивающих авторизацию пользователей, не требуется перерегистрироваться по новым требованиям, т.к. закон не имеет обратной силы.
В следующий раз мы расскажем об особенностях исполнения требований ч. 10 ст. 8 149-ФЗ на практике.
#ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7
DMZ (Demilitarized Zone, демилитаризованная зона) – это сегмент сети, выделенный для размещения публично доступных ресурсов, таких как, например, веб-серверы, почтовые серверы или файловые серверы. Основная задача DMZ – изолировать серверы, доступные из сети Интернет, от внутренней инфраструктуры компании путем их размещения в отдельной подсети с помощью межсетевых экранов (МЭ). Серверы в DMZ не имеют прямого доступа к внутренней сети и обмениваются данными через ограниченные соединения с отдельными узлами во внутренней сети.
Схемы реализации DMZ:
1️⃣ Конфигурация с одним МЭ (Single FirewallDMZ)
Один МЭ разделяет сеть на три зоны: внешняя сеть, DMZ, внутренняя сеть. Плюсы схемы – простота настройки и низкие затраты из-за использования только одного МЭ. Минус – при компрометации самого МЭ, который доступен из сети Интернет, злоумышленник может попасть во внутренний сегмент сети.
2️⃣ Конфигурация с двумя МЭ (Dual FirewallDMZ)
Первый МЭ изолирует внешнюю сеть отDMZ и контролирует трафик запросов к ресурсам в сегменте DMZ. Второй МЭ отделяет DMZ от внутренней сети и позволяет предотвратить несанкционированный доступ из DMZ к внутренней сети. Плюс схемы – более высокая степень защиты, обеспечиваемая двумя МЭ. Минус – сложность настройки и администрирования двух МЭ.
3️⃣ Разделённая DMZ
Вместо одной зоны DMZ создаётся несколько изолированных подсетей, каждая из которых отвечает за разные типы сервисов. Трафик между этими подсетями ограничен. Плюс схемы – высокая степень защиты, обеспечиваемая изоляцией разных типов сервисов друг от друга. Минус – сложность в управлении несколькими подсетями.
4️⃣ Cloud-based DMZ
В такой архитектуре публично доступные ресурсы размещаются и изолируются в облачных сервисах облачного провайдера, а не в локальной сети компании. Плюс схемы – её масштабируемость путем использования инфраструктуры провайдера. Минусы – зависимость от провайдера и риски при сбоях у него.
Выбор схемы зависит от конкретных требований компании и располагаемого бюджета.
#ПолезноЗнать
Схемы реализации DMZ:
Один МЭ разделяет сеть на три зоны: внешняя сеть, DMZ, внутренняя сеть. Плюсы схемы – простота настройки и низкие затраты из-за использования только одного МЭ. Минус – при компрометации самого МЭ, который доступен из сети Интернет, злоумышленник может попасть во внутренний сегмент сети.
Первый МЭ изолирует внешнюю сеть отDMZ и контролирует трафик запросов к ресурсам в сегменте DMZ. Второй МЭ отделяет DMZ от внутренней сети и позволяет предотвратить несанкционированный доступ из DMZ к внутренней сети. Плюс схемы – более высокая степень защиты, обеспечиваемая двумя МЭ. Минус – сложность настройки и администрирования двух МЭ.
Вместо одной зоны DMZ создаётся несколько изолированных подсетей, каждая из которых отвечает за разные типы сервисов. Трафик между этими подсетями ограничен. Плюс схемы – высокая степень защиты, обеспечиваемая изоляцией разных типов сервисов друг от друга. Минус – сложность в управлении несколькими подсетями.
В такой архитектуре публично доступные ресурсы размещаются и изолируются в облачных сервисах облачного провайдера, а не в локальной сети компании. Плюс схемы – её масштабируемость путем использования инфраструктуры провайдера. Минусы – зависимость от провайдера и риски при сбоях у него.
Выбор схемы зависит от конкретных требований компании и располагаемого бюджета.
#ПолезноЗнать
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8🔥3❤1
23 января 2025 г. в 19:00 по московскому времени Роман Мартинсон, руководитель направления по оказанию услуг в области персональных данных Kept, примет участие во второй ежегодной конференции RPPA, посвященной теме образования в сфере приватности.
На конференции Роман и другие эксперты расскажут об образовательных курсах в сфере приватности и об особенностях подходов к обучению.
Мероприятие нацелено на формирование консолидированного представления у потребителей о курсах по теме приватности на российском рынке.
Формат: онлайн-трансляция на платформах VK и YouTube.
Подробности на веб-сайте.
На конференции Роман и другие эксперты расскажут об образовательных курсах в сфере приватности и об особенностях подходов к обучению.
Мероприятие нацелено на формирование консолидированного представления у потребителей о курсах по теме приватности на российском рынке.
Формат: онлайн-трансляция на платформах VK и YouTube.
Подробности на веб-сайте.
❤8🔥5👍1
Вопрос:
Какие профессиональные сертификации могут подойти для специалиста по персональным данным (ПДн)?
Ответ:
В России институт сертификации экспертов по ПДн находится на начальной стадии, поэтому российские специалисты часто выбирают международные сертификации, предлагающие более широкий выбор. Международные профессиональные сертификации разнообразны и отличаются глубиной проработки тем обработки и защиты ПДн, а также методами подтверждения знаний в области информационных технологий (ИТ) и информационной безопасности (ИБ).
Национальные сертификации:
▫️PPCP – сертификации специалистов в области приватности, построенная на основе перечня компетенций RPPA. Отличительная черта сертификации, что она проходит в устной форме и состоит из четырех блоков.
▫️ПРОПД – подтверждает знания и навыки специалистов, занимающихся защитой ПДн, включая юристов и специалистов compliance.Сертификация проходит в форме электронного тестирования.
Международные сертификации:
▫️CIPP – сертификация от IAPP, охватывающая понимания законодательства по приватности в разных юрисдикциях. Среди российских специалистов востребованы CIPP/E (для Европы) и CIPP/US (для США), которые позволяют углубить знания по правоприменению в этих регионах.
▫️CIPM – cертификация от IAPP, которая фокусируется на управлении функцией приватности в компании, помогая разрабатывать стратегию и управлять рисками, связанными с обработкой ПДн.
▫️CIPT от IAPP и CDPSE от ISACA – акцентируют внимание на технических аспектах защиты ПДн и внедрении технологий для соблюдения приватности, предназначены дляIT-специалистов и помогают интегрировать решения в бизнес-процессы.
▫️CISSP от ISC – сертификация для профессионалов в области ИБ, охватывающая защиту ПДн, управление рисками, соблюдение нормативных требований и др.
▫️ISO/IEC 27701 Foundation/Lead Implementer/Lead Auditor – сертификации, подтверждающие знания в создании и аудите систем управления ИБ.
▫️CDP от IMI – подтверждают знания в области приватности и защиты ПДн.
#Privacy
#KeptОтвечает
Какие профессиональные сертификации могут подойти для специалиста по персональным данным (ПДн)?
Ответ:
В России институт сертификации экспертов по ПДн находится на начальной стадии, поэтому российские специалисты часто выбирают международные сертификации, предлагающие более широкий выбор. Международные профессиональные сертификации разнообразны и отличаются глубиной проработки тем обработки и защиты ПДн, а также методами подтверждения знаний в области информационных технологий (ИТ) и информационной безопасности (ИБ).
Национальные сертификации:
▫️PPCP – сертификации специалистов в области приватности, построенная на основе перечня компетенций RPPA. Отличительная черта сертификации, что она проходит в устной форме и состоит из четырех блоков.
▫️ПРОПД – подтверждает знания и навыки специалистов, занимающихся защитой ПДн, включая юристов и специалистов compliance.Сертификация проходит в форме электронного тестирования.
Международные сертификации:
▫️CIPP – сертификация от IAPP, охватывающая понимания законодательства по приватности в разных юрисдикциях. Среди российских специалистов востребованы CIPP/E (для Европы) и CIPP/US (для США), которые позволяют углубить знания по правоприменению в этих регионах.
▫️CIPM – cертификация от IAPP, которая фокусируется на управлении функцией приватности в компании, помогая разрабатывать стратегию и управлять рисками, связанными с обработкой ПДн.
▫️CIPT от IAPP и CDPSE от ISACA – акцентируют внимание на технических аспектах защиты ПДн и внедрении технологий для соблюдения приватности, предназначены дляIT-специалистов и помогают интегрировать решения в бизнес-процессы.
▫️CISSP от ISC – сертификация для профессионалов в области ИБ, охватывающая защиту ПДн, управление рисками, соблюдение нормативных требований и др.
▫️ISO/IEC 27701 Foundation/Lead Implementer/Lead Auditor – сертификации, подтверждающие знания в создании и аудите систем управления ИБ.
▫️CDP от IMI – подтверждают знания в области приватности и защиты ПДн.
#Privacy
#KeptОтвечает
👍8❤3
CISO & DPO news #57 (10 - 16 января 2025 года)
1/8 Агентство CISA обновила Национальный план реагирования на киберинциденты.
2/8 Samsung устранила серьезную уязвимость на своих смартфонах.
3/8 Поправки в УК РФ вызывают опасения у компаний, занимающихся кибербезопасностью.
4/8 Google выпустил Chrome 132 с важными обновлениями безопасности.
5/8 В 2024 г. утекло свыше 710 млн. записей персональных данных.
6/8 Минцифры обновляет требования к обработке биометрических персональных данных в ЕБС.
7/8 Минцифры предложило усилить контроль за обработкой персональных данных.
8/8 Meta* выплатила $100 тыс. за обнаруженную уязвимость на сервере Facebook.
1/8 Агентство CISA обновила Национальный план реагирования на киберинциденты.
2/8 Samsung устранила серьезную уязвимость на своих смартфонах.
3/8 Поправки в УК РФ вызывают опасения у компаний, занимающихся кибербезопасностью.
4/8 Google выпустил Chrome 132 с важными обновлениями безопасности.
5/8 В 2024 г. утекло свыше 710 млн. записей персональных данных.
6/8 Минцифры обновляет требования к обработке биометрических персональных данных в ЕБС.
7/8 Минцифры предложило усилить контроль за обработкой персональных данных.
8/8 Meta* выплатила $100 тыс. за обнаруженную уязвимость на сервере Facebook.
👍6❤1
Какая техника используется для запутывания исходного кода программы, делая его трудночитаемым и труднопонимаем для анализа?
Anonymous Quiz
61%
Обфускация
16%
Хеширование
2%
Фильтрация
21%
Шифрование
🤔3🔥1
Обфускация – техника, делающая исходный код программы сложным для понимания, что затрудняет его обратную разработку и анализ. Она защищает интеллектуальную собственность, усложняет злоумышленникам доступ к логике программы и снижает вероятность её модификации. Обфускация выполняется с помощью специальных инструментов — обфускаторов, которые изменяют код автоматически.
Виды обфускации
1️⃣ Лексическая обфускация – упрощённое изменение названий переменных и функций.
2️⃣ Обфускация структур данных – усложнение логики обработки данных.
3️⃣ Обфускация потока управления – изменение порядка выполнения программы.
4️⃣ Превентивная обфускация – защита от автоматического восстановления кода.
Стоит учесть, что обфускация имеет ряд недостатков:
▫️ Увеличение объема код и длительности его выполнения;
▫️ Риск возникновения ошибок и усложнение отладки и тестирования.
Обфускация теряет популярность из-за появления более эффективных методов защиты, так как не гарантирует полной безопасности, а лишь делает анализ и взлом долгими и невыгодными.
В настоящий момент более эффективными методами защиты считаются:
▫️ проверка целостности кода и его подпись;
▫️ динамическая защита от отладки;
▫️ виртуализация нативного кода (код, выполняемый непосредственно процессором)
#ИБ
Виды обфускации
Стоит учесть, что обфускация имеет ряд недостатков:
Обфускация теряет популярность из-за появления более эффективных методов защиты, так как не гарантирует полной безопасности, а лишь делает анализ и взлом долгими и невыгодными.
В настоящий момент более эффективными методами защиты считаются:
#ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8🔥3
Публикуем десятый выпуск «Непропустимых» событий ИБ. Мы активно следим за интересными мероприятиями по тематике информационной безопасности и приватности. Сегодня представляем наши рекомендации на февраль 2025 года.
Подборка мероприятий в файле под этим постом⬇️
#Непропустимыесобытия
Подборка мероприятий в файле под этим постом
#Непропустимыесобытия
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6
28 января (вторник) в московском офисе Kept пройдёт ежегодное мероприятие Kept Privacy Day.
На мероприятии эксперты Группы по оказанию услуг в области кибербезопасности Kept, а также приглашенные гости из крупнейших российских и международных компаний рассмотрят самые актуальные вопросы в сфере работы с персональными данным (ПДн).
Среди тем для обсуждения:
▫️ как проходят будни инженера по защите ПДн;
▫️ какова задача аудита по защите ПДн внутри группы компании;
▫️ какие позитивные тенденции отслеживаются в 152-ФЗ.
Помимо выступлений, в ходе мероприятия будут проведены кофе-брейк с квизом и круглый стол по определению роли личности в построении приватности, а завершающим аккордом станет фуршет, где можно будет пообщаться со спикерами и задать интересующие вопросы.
Спикерами мероприятия будут:
▫️ Роман Мартинсон, Kept
▫️ Екатерина Басниева, Самокат
▫️ Николай Виноградов, Русагро Тех
▫️ Игорь Аладьев, Северсталь-инфоком
▫️ Галина Алексеева, Северсталь-инфоком
▫️ Ирина Кононенко, Альфа-Банк
▫️ Ольга Мишина, ОТЭКО
▫️ Сергей Тимофеев, Астразенека
Участие бесплатное.
🗓️ Регистрация доступна по ссылке и возможна до 26 января включительно.
Ждем встречи на мероприятии!
#Privacy
На мероприятии эксперты Группы по оказанию услуг в области кибербезопасности Kept, а также приглашенные гости из крупнейших российских и международных компаний рассмотрят самые актуальные вопросы в сфере работы с персональными данным (ПДн).
Среди тем для обсуждения:
Помимо выступлений, в ходе мероприятия будут проведены кофе-брейк с квизом и круглый стол по определению роли личности в построении приватности, а завершающим аккордом станет фуршет, где можно будет пообщаться со спикерами и задать интересующие вопросы.
Спикерами мероприятия будут:
Участие бесплатное.
Ждем встречи на мероприятии!
#Privacy
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥14👍1
30 ноября 2024 г. были внесены изменений в УК РФ, связанные с незаконным использованием персональных данных (ПДн). Ниже мы рассмотрим основные статьи УК РФ, касающиеся ПДн и частной жизни.
Нарушение неприкосновенности частной жизни
Ст. 137 УК РФ устанавливает уголовную ответственность за незаконное собирание и распространение сведений о частной жизни лица без его согласия, либо распространение в публичном выступлении, произведении или СМИ.
Признаки нарушения:
▫️ Способ сбора сведений, не предусмотрен законом;
▫️ Отсутствие согласия субъекта на сбор или распространение сведений;
▫️ Умышленная вина и прямой умысел.
Примеры нарушений:
▫️ Установка скрытой камеры в раздевалке с последующим опубликованием видео.
▫️ Создание «фейковых» страниц в соцсетях с публикацией интимных фото и видео других лиц, указанием их контактных данных.
Незаконное использование и передача компьютерной информации
Новая статья 272.1 УК РФ устанавливает уголовную ответственность за незаконное использование, передачу, сбор и хранение ПДн, полученных путем неправомерного доступа или иным незаконным способом.
Условия привлечения к уголовной ответственности:
▫️ Незаконный способ получения ПДн;
▫️ Незаконное использование и распоряжение ПДн.
Повышенная уголовная ответственность предусмотрена в отношении особых категорий ПДн:
▫️ ПДн несовершеннолетних;
▫️ Специальные категории ПДн;
▫️ Биометрические ПДн;
▫️ ПДн, сопряжённые с трансграничной передачей.
❗ Действие статьи не распространяется на обработку ПДн для личных и семейных нужд.
Важно отметить, что в УК РФ предусмотрены иные преступления против чести и достоинства или касающиеся незаконного доступа к компьютерной информации, которые тоже могут содержать ПДн.
#Privacy
#ПолезноЗнать
Нарушение неприкосновенности частной жизни
Ст. 137 УК РФ устанавливает уголовную ответственность за незаконное собирание и распространение сведений о частной жизни лица без его согласия, либо распространение в публичном выступлении, произведении или СМИ.
Признаки нарушения:
Примеры нарушений:
Незаконное использование и передача компьютерной информации
Новая статья 272.1 УК РФ устанавливает уголовную ответственность за незаконное использование, передачу, сбор и хранение ПДн, полученных путем неправомерного доступа или иным незаконным способом.
Условия привлечения к уголовной ответственности:
Повышенная уголовная ответственность предусмотрена в отношении особых категорий ПДн:
Важно отметить, что в УК РФ предусмотрены иные преступления против чести и достоинства или касающиеся незаконного доступа к компьютерной информации, которые тоже могут содержать ПДн.
#Privacy
#ПолезноЗнать
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6❤1👌1