CISO & DPO news #25 (17-23 мая 2024 года)
1/8 Новые указания ЦБ РФ по импортозамещению в области КИИ 6679-У и 6680-У.
2/8 Киберпреступники распространяют вредоносное ПОчерез GitCenter и FileZilla.
3/8 Обнаружена новая угроза безопасности для ИИ-моделей в облачных сервисах.
4/8 Вредоносное ПО распространяется через рекламу в поисковой системе Google.
5/8 Минпромторг подготовил законопроект об обработке промышленных данных.
6/8 Совет Федерации сообщил о концепции и структуре Цифрового кодекса РФ.
7/8 Опубликованы результаты обсуждения перспектив использования ИИ в финорганизациях.
8/8 ЦБ РФ опубликовал обзор основных компьютерных атак в 2023 г.
1/8 Новые указания ЦБ РФ по импортозамещению в области КИИ 6679-У и 6680-У.
2/8 Киберпреступники распространяют вредоносное ПОчерез GitCenter и FileZilla.
3/8 Обнаружена новая угроза безопасности для ИИ-моделей в облачных сервисах.
4/8 Вредоносное ПО распространяется через рекламу в поисковой системе Google.
5/8 Минпромторг подготовил законопроект об обработке промышленных данных.
6/8 Совет Федерации сообщил о концепции и структуре Цифрового кодекса РФ.
7/8 Опубликованы результаты обсуждения перспектив использования ИИ в финорганизациях.
8/8 ЦБ РФ опубликовал обзор основных компьютерных атак в 2023 г.
👍9❤1
В какой из указанных ситуаций правовым основанием обработки персональных данных будет являться договор?
Anonymous Quiz
5%
Направление маркетинговых рассылок при заключении договора с клиентом
10%
Обработка биометрических персональных данных с целью идентификации субъекта при заключении договора
85%
Обработка персональных данных (ФИО, номер телефона, паспортные данные) при заключении договора
🤔6👍1
Согласно п.5 ч.1 ст.6 152-ФЗ обработка персональных данных (ПДн) допускается в случае, если она необходима для исполнения или для заключения договора по инициативе субъекта ПДн и если субъект является:
• стороной договора (ст.420 ГК РФ)
• выгодоприобретателем (ст.ст.430, 842, 930, 1012 ГК РФ)
• поручителем (ст.361 ГК РФ)
В соответствии с позицией Роскомнадзора данное правовое основание ограничено только гражданско-правовыми договорами. Однако суды толкуют норму расширительно, включая также трудовой договор.
При обработке ПДн на основании договора следует иметь ввиду следующие правила:
• должна быть обеспечена связь цели обработки ПДн с предметом договора
• обработка ПДн должна быть необходима для исполнения обязательств сторон договора
• обработка ПДн должна быть прекращена одновременно с расторжением договора
• договор не может содержать положения, ограничивающие права субъекта ПДн или устанавливающие не предусмотренную законом обработку ПДн несовершеннолетних
• договор не может содержать положения, не допускающие в качестве условия заключения договора бездействие субъекта ПДн
#Privacy
• стороной договора (ст.420 ГК РФ)
• выгодоприобретателем (ст.ст.430, 842, 930, 1012 ГК РФ)
• поручителем (ст.361 ГК РФ)
В соответствии с позицией Роскомнадзора данное правовое основание ограничено только гражданско-правовыми договорами. Однако суды толкуют норму расширительно, включая также трудовой договор.
При обработке ПДн на основании договора следует иметь ввиду следующие правила:
• должна быть обеспечена связь цели обработки ПДн с предметом договора
• обработка ПДн должна быть необходима для исполнения обязательств сторон договора
• обработка ПДн должна быть прекращена одновременно с расторжением договора
• договор не может содержать положения, ограничивающие права субъекта ПДн или устанавливающие не предусмотренную законом обработку ПДн несовершеннолетних
• договор не может содержать положения, не допускающие в качестве условия заключения договора бездействие субъекта ПДн
#Privacy
👍9
Ранее мы рассказывали про основные методы социальной инженерии. Сегодня поделимся реальными случаями применения мошенниками психологических манипуляций.
Например, человеку присылают сообщение о том, что его аккаунт на Госуслугах якобы взломан и указывают номера телефонов, с которых поступит звонок от «службы поддержки» для восстановления доступа. При личном разговоре с человеком злоумышленник получает код для двухфакторной аутентификации и дальнейшего доступа к аккаунту.
В 2023 г. в Telegram стала популярна схема FakeBoss. Мошенники создают фейк-аккаунты топ-менеджеров компаний и пишут рядовым сотрудникам с целью выполнения определённых действий. Так, сотрудник бухгалтерии может получить сообщение от "начальника" с просьбой о переводе денежных средств на указанный счет в срочном порядке.
В январе 2024 г. были выявлены случаи использования аудиодипфейков в схеме FakeBoss. Злоумышленник, применяя технологии искусственного интеллекта, не ограничивается простой отправкой текста от чужого имени, а звонит или записывает аудиосообщение с голосом руководителя.
Чтобы иметь возможность защититься от подобных манипуляций рекомендуем:
· проявлять бдительность, перепроверять информацию и не поддаваться эмоциям, о чем мы говорили ранее;
· следить за трендами и за новыми методами атак, включая методы социальной инженерии, чтобы не быть застигнутым врасплох.
#ИБ
#ПолезноЗнать
Например, человеку присылают сообщение о том, что его аккаунт на Госуслугах якобы взломан и указывают номера телефонов, с которых поступит звонок от «службы поддержки» для восстановления доступа. При личном разговоре с человеком злоумышленник получает код для двухфакторной аутентификации и дальнейшего доступа к аккаунту.
В 2023 г. в Telegram стала популярна схема FakeBoss. Мошенники создают фейк-аккаунты топ-менеджеров компаний и пишут рядовым сотрудникам с целью выполнения определённых действий. Так, сотрудник бухгалтерии может получить сообщение от "начальника" с просьбой о переводе денежных средств на указанный счет в срочном порядке.
В январе 2024 г. были выявлены случаи использования аудиодипфейков в схеме FakeBoss. Злоумышленник, применяя технологии искусственного интеллекта, не ограничивается простой отправкой текста от чужого имени, а звонит или записывает аудиосообщение с голосом руководителя.
Чтобы иметь возможность защититься от подобных манипуляций рекомендуем:
· проявлять бдительность, перепроверять информацию и не поддаваться эмоциям, о чем мы говорили ранее;
· следить за трендами и за новыми методами атак, включая методы социальной инженерии, чтобы не быть застигнутым врасплох.
#ИБ
#ПолезноЗнать
👍8👏2
Опубликовано 2 мая 2024 г.:
Методический документ «Методика оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов КИИ»
· для кого: государственные органы, органы местного самоуправления, юридические лица и субъекты КИИ;
· что делать: провести оценку текущего состояния защиты информации, в том числе персональных данных и состояния безопасности значимых объектов КИИ.
В настоящее время документ носит рекомендательный характер.
Опубликовано 15 мая 2024 г.:
Информационное письмо Банка России от 15.05.2024 № ИН-08-12/31
· для кого: кредитные организации;
· что делать: усилить контроль за деятельностью привлекаемых банковских платежных агентов.
Вступило в силу 28 мая 2024 г.:
Указание Банка России от 05.02.2024 № 6679-У
· для кого: кредитные организации, которым принадлежат значимые объекты КИИ;
· что делать: ознакомиться с Указанием и быть готовыми предоставить по запросу Банка России информацию о реализации планов по переходу на использование российского ПО и оборудования, задействованного на значимых объектах КИИ.
Указание Банка России от 05.02.2024 № 6680-У
· для кого: некредитные финансовые организации, которым принадлежат значимые объекты КИИ;
· что делать: ознакомиться с документом и быть готовыми предоставить по запросу Банка России информацию о реализации планов по переходу на использование российского ПО и оборудования, задействованного на значимых объектах КИИ.
Вступит в силу 1 июня 2024 г.:
Приказ ФСТЭК России от 01.12.2023 № 240
· для кого: разработчики средств защиты информации;
· что делать: реализовать требования к этапам проведения сертификации процессов безопасной разработки ПО средств защиты информации, составляющей гостайну.
#ДеЮре
#ИБ
Методический документ «Методика оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов КИИ»
· для кого: государственные органы, органы местного самоуправления, юридические лица и субъекты КИИ;
· что делать: провести оценку текущего состояния защиты информации, в том числе персональных данных и состояния безопасности значимых объектов КИИ.
В настоящее время документ носит рекомендательный характер.
Опубликовано 15 мая 2024 г.:
Информационное письмо Банка России от 15.05.2024 № ИН-08-12/31
· для кого: кредитные организации;
· что делать: усилить контроль за деятельностью привлекаемых банковских платежных агентов.
Вступило в силу 28 мая 2024 г.:
Указание Банка России от 05.02.2024 № 6679-У
· для кого: кредитные организации, которым принадлежат значимые объекты КИИ;
· что делать: ознакомиться с Указанием и быть готовыми предоставить по запросу Банка России информацию о реализации планов по переходу на использование российского ПО и оборудования, задействованного на значимых объектах КИИ.
Указание Банка России от 05.02.2024 № 6680-У
· для кого: некредитные финансовые организации, которым принадлежат значимые объекты КИИ;
· что делать: ознакомиться с документом и быть готовыми предоставить по запросу Банка России информацию о реализации планов по переходу на использование российского ПО и оборудования, задействованного на значимых объектах КИИ.
Вступит в силу 1 июня 2024 г.:
Приказ ФСТЭК России от 01.12.2023 № 240
· для кого: разработчики средств защиты информации;
· что делать: реализовать требования к этапам проведения сертификации процессов безопасной разработки ПО средств защиты информации, составляющей гостайну.
#ДеЮре
#ИБ
👍10❤2
Вопрос: Требуется ли включать в перечень информационных систем персональных данных (ИСПДн) информационные системы (ИС) которые используются компанией, но которые ей не принадлежат?
Ответ: Нет, не требуется.
В соответствии с ч. 10) ст. 3 152-ФЗ, ИСПДн – это совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.
Согласно разъяснениям Роскомнадзора, в ч. 2 ст. 13 149-ФЗ определены условия, при которых лицо может быть собственником ИС – использование технических средств для обработки данных, содержащихся в базах данных, на законном основании. Также собственник ИС может заключить договор об эксплуатации ИС, при таких обстоятельствах оператором ИС (п. 12 ст. 2 149-ФЗ) будет являться сторона, с которой этот собственник заключил договор об эксплуатации информационной системы.
Так, Роскомнадзор делает вывод о том, что у одной информационной системы может быть только один оператор.
При этом мы рекомендуем отражать обработку ПДн в сторонних ИСПДн в реестре процессов обработки ПДн (ранее мы писали про его содержание).
#Privacy
#KeptОтвечает
Ответ: Нет, не требуется.
В соответствии с ч. 10) ст. 3 152-ФЗ, ИСПДн – это совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.
Согласно разъяснениям Роскомнадзора, в ч. 2 ст. 13 149-ФЗ определены условия, при которых лицо может быть собственником ИС – использование технических средств для обработки данных, содержащихся в базах данных, на законном основании. Также собственник ИС может заключить договор об эксплуатации ИС, при таких обстоятельствах оператором ИС (п. 12 ст. 2 149-ФЗ) будет являться сторона, с которой этот собственник заключил договор об эксплуатации информационной системы.
Так, Роскомнадзор делает вывод о том, что у одной информационной системы может быть только один оператор.
При этом мы рекомендуем отражать обработку ПДн в сторонних ИСПДн в реестре процессов обработки ПДн (ранее мы писали про его содержание).
#Privacy
#KeptОтвечает
👍11
CISO & DPO news #26 (24-30 мая 2024 года)
1/8 EDPB опубликовал руководство по защите ПДн для малого бизнеса.
2/8 Минцифры подготовило правки к законопроекту об санкциях за утечки персданных.
3/8 Издан проект требований для провайдеров хостинга по защите данных в ГИС и МИС.
4/8 Выросла доля киберпреступлений в РФ.
5/8 В Госдуме предлагают ввести уголовную ответственность за дипфейки.
6/8 ГК «Солар» опубликовали отчет о хакерской группировке Shedding Zmiy.
7/8 Банк России опубликовал обзор отчетности об инцидентах ИБ за 1-й квартал 2024.
8/8 Эксперты рассказали об активности хакерской группе Sapphire Werewolf.
1/8 EDPB опубликовал руководство по защите ПДн для малого бизнеса.
2/8 Минцифры подготовило правки к законопроекту об санкциях за утечки персданных.
3/8 Издан проект требований для провайдеров хостинга по защите данных в ГИС и МИС.
4/8 Выросла доля киберпреступлений в РФ.
5/8 В Госдуме предлагают ввести уголовную ответственность за дипфейки.
6/8 ГК «Солар» опубликовали отчет о хакерской группировке Shedding Zmiy.
7/8 Банк России опубликовал обзор отчетности об инцидентах ИБ за 1-й квартал 2024.
8/8 Эксперты рассказали об активности хакерской группе Sapphire Werewolf.
👍9