Компания заключает договор с банком в части осуществления выплат зарплаты своим работникам. Какие роли в отношении обработки передаваемых персональных данных выполняют компания и банк?
Anonymous Quiz
32%
Компания – оператор, банк – обработчик персональных данных
61%
Компания и банк – операторы персональных данных
7%
Компания – обработчик, банк – оператор персональных данных
❤6👎1🤔1
В соответствии с 152-ФЗ, оператор – это юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных (ПДн), а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
Понятие «обработчик», указанное в викторине, введено для упрощения понимания ролей, так как в 152-ФЗ отсутствует такой термин. В ч. 3 ст. 6 152-ФЗ определено, что оператор вправе поручить обработку ПДн другому лицу с согласия субъекта, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.
Примером взаимодействия компаний в ролях «оператор» и «обработчик» может быть хранение ПДн в облаке при хостинге веб-сайта на мощностях контрагента (Обзор мероприятия Роскомнадзора для операторов стр. 16).
Так, компания и банк могут, к примеру, определять следующие цели обработки ПДн:
• для компании – осуществление выплат работникам;
• для банка – осуществление ряда банковских операций / транзакций.
В части определения средств обработки ПДн компания и банк принимают решение независимо друг от друга.
Таким образом, в рамках описанного в викторине процесса «выплаты работникам» компания и банк самостоятельно определяют цели и средства обработки ПДн, то есть они оба одновременно являются операторами. #Privacy
Понятие «обработчик», указанное в викторине, введено для упрощения понимания ролей, так как в 152-ФЗ отсутствует такой термин. В ч. 3 ст. 6 152-ФЗ определено, что оператор вправе поручить обработку ПДн другому лицу с согласия субъекта, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.
Примером взаимодействия компаний в ролях «оператор» и «обработчик» может быть хранение ПДн в облаке при хостинге веб-сайта на мощностях контрагента (Обзор мероприятия Роскомнадзора для операторов стр. 16).
Так, компания и банк могут, к примеру, определять следующие цели обработки ПДн:
• для компании – осуществление выплат работникам;
• для банка – осуществление ряда банковских операций / транзакций.
В части определения средств обработки ПДн компания и банк принимают решение независимо друг от друга.
Таким образом, в рамках описанного в викторине процесса «выплаты работникам» компания и банк самостоятельно определяют цели и средства обработки ПДн, то есть они оба одновременно являются операторами. #Privacy
👍10
В настоящее время уголовная ответственность за нарушение требований к порядку обработки персональных данных (ПДн) предусмотрена следующими нормами:
· Незаконный сбор или распространение ПДн лица без его согласия либо распространение этих сведений публично (ч. 1) и аналогичные деяния, совершенные лицом с использованием своего служебного положения (ч. 2) – ст. 137 УК РФ.
Например, лишение свободы врача на 2 года и штраф в размере 200 тыс. руб. за съемку скрытой камерой в кабинете врача.
· Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений (ч. 1, 2) – ст. 138 УК РФ.
Например, условное лишение свободы работника офиса обслуживания на 3 года за передачу сведений об абонентах и детализации телефонных соединений абонентских номеров оператора связи.
· Сбор, разглашение или использование ПДн, которые составляют, в том числе налоговую или банковскую тайну (ч. 1-4) – ст. 183 УК РФ.
Например, лишение свободы работника кредитной организации на 1 год и 6 месяцев за передачу ПДн клиентов, данных об их задолженностях и номеров банковских счетов.
· Неправомерный доступ к ПДн, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование ПДн (ч. 1-4) – ст. 272 УК РФ.
Например, штраф в размере 50 тыс. руб. за незаконный доступ к ПДн, содержащимся в электронной базе полюсов ОСАГО страховой компании.
Следует отметить, что в данный момент Госдума рассматривает законопроект о введении уголовной ответственности за действия (бездействия) операторов ПДн, повлекшие утечку ПДн.
Предполагается введение штрафов до 300 тыс. руб. либо лишение свободы до 4 лет.
Характер ответственности будет зависит от категории ПДн (специальные или биометрические), наличия трансграничной передачи, размера ущерба и умысла правонарушителя.
#Privacy
#ПолезноЗнать
· Незаконный сбор или распространение ПДн лица без его согласия либо распространение этих сведений публично (ч. 1) и аналогичные деяния, совершенные лицом с использованием своего служебного положения (ч. 2) – ст. 137 УК РФ.
Например, лишение свободы врача на 2 года и штраф в размере 200 тыс. руб. за съемку скрытой камерой в кабинете врача.
· Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений (ч. 1, 2) – ст. 138 УК РФ.
Например, условное лишение свободы работника офиса обслуживания на 3 года за передачу сведений об абонентах и детализации телефонных соединений абонентских номеров оператора связи.
· Сбор, разглашение или использование ПДн, которые составляют, в том числе налоговую или банковскую тайну (ч. 1-4) – ст. 183 УК РФ.
Например, лишение свободы работника кредитной организации на 1 год и 6 месяцев за передачу ПДн клиентов, данных об их задолженностях и номеров банковских счетов.
· Неправомерный доступ к ПДн, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование ПДн (ч. 1-4) – ст. 272 УК РФ.
Например, штраф в размере 50 тыс. руб. за незаконный доступ к ПДн, содержащимся в электронной базе полюсов ОСАГО страховой компании.
Следует отметить, что в данный момент Госдума рассматривает законопроект о введении уголовной ответственности за действия (бездействия) операторов ПДн, повлекшие утечку ПДн.
Предполагается введение штрафов до 300 тыс. руб. либо лишение свободы до 4 лет.
Характер ответственности будет зависит от категории ПДн (специальные или биометрические), наличия трансграничной передачи, размера ущерба и умысла правонарушителя.
#Privacy
#ПолезноЗнать
👍11
Kept приглашает на вебинар, на котором мы расскажем, как современные технологии помогают решать самые непростые задачи, связанные со сбором и анализом цифровых данных в рамках корпоративных расследований.
Программа:
▫️Что такое eDiscovery и Digital Forensic;
▫️Как и в каких случаях стоит применять методы eDiscovery и Digital Forensic при проведении корпоративных расследований;
▫️Как машинное обучение (Technology Assisted Review) помогает анализировать огромные объемы информации в рамках расследований;
▫️Особенности работы некоторых серверов электронной почты;
▫️Где и в каком виде на компьютере под управлением операционных систем Windows и Linux хранятся следы активности пользователя.
🟣Подробности и регистрация по ссылке.
Программа:
▫️Что такое eDiscovery и Digital Forensic;
▫️Как и в каких случаях стоит применять методы eDiscovery и Digital Forensic при проведении корпоративных расследований;
▫️Как машинное обучение (Technology Assisted Review) помогает анализировать огромные объемы информации в рамках расследований;
▫️Особенности работы некоторых серверов электронной почты;
▫️Где и в каком виде на компьютере под управлением операционных систем Windows и Linux хранятся следы активности пользователя.
🟣Подробности и регистрация по ссылке.
🔥9
Публикуем третий выпуск «Непропустимых» событий ИБ. Мы активно следим за интересными мероприятиями по тематике информационной безопасности и приватности. Сегодня представляем наши рекомендации на июль 2024 года.
Подборка мероприятий в файле под этим постом.
#Непропустимыесобытия
Подборка мероприятий в файле под этим постом.
#Непропустимыесобытия
👍9
Вопрос:
Каким образом субъекту КИИ правильно провести инвентаризацию процессов и систем?
Ответ:
После определения состава постоянно действующей комиссии по категорированию объектов критической информационной инфраструктуры (КИИ) компании, в соответствии с ч. а) п. 5 Постановления Правительства № 127, необходимо определить управленческие, технологические, производственные, финансово-экономические процессы.
Данную задачу мы предлагаем провести в форме инвентаризации процессов и систем компании, включающей в себя три этапа:
1. Подготовка.
2. Сбор информации.
3. Анализ собранной информации.
Этап подготовки включает в себя:
• Определение работников, ответственных за проведение инвентаризации.
• Составление плана инвентаризации, включающего в себя состав мероприятий, ответственных за их реализацию и сроки выполнения мероприятий.
• Определение основных бизнес процессов и направлений деятельности компании.
• Анализ организационной структуры компании и формирование плана интервью.
• Изучение документов (инструкции, процедуры и др.), описывающих порядок реализации процессов подразделений компании.
Этап сбора информации включает в себя:
• Проведение интервью с руководителями подразделений компании в целях установления направления их деятельности и получения сведений об используемых системах.
• Выявление бизнес-процессов компании (рекомендуется составлять схемы бизнес-процессов).
• Определение систем, используемых в рамках бизнес-процессов.
• Выявление третьих лиц, участвующих в работе бизнес-процессов и систем.
Этап анализа собранной информации включает в себя:
• Систематизацию собранной информации.
• Подготовку реестра бизнес-процессов компании.
В состав реестра рекомендуется также включать:
• наименование систем, функционирующих в рамках бизнес-процессов;
• сведения о третьих лицах, участвующих в бизнес-процессах.
Проведение инвентаризации позволяет получить более подробную картину бизнес-процессов компании и упростить реализацию последующих этапов категорирования.
#КИИ
Каким образом субъекту КИИ правильно провести инвентаризацию процессов и систем?
Ответ:
После определения состава постоянно действующей комиссии по категорированию объектов критической информационной инфраструктуры (КИИ) компании, в соответствии с ч. а) п. 5 Постановления Правительства № 127, необходимо определить управленческие, технологические, производственные, финансово-экономические процессы.
Данную задачу мы предлагаем провести в форме инвентаризации процессов и систем компании, включающей в себя три этапа:
1. Подготовка.
2. Сбор информации.
3. Анализ собранной информации.
Этап подготовки включает в себя:
• Определение работников, ответственных за проведение инвентаризации.
• Составление плана инвентаризации, включающего в себя состав мероприятий, ответственных за их реализацию и сроки выполнения мероприятий.
• Определение основных бизнес процессов и направлений деятельности компании.
• Анализ организационной структуры компании и формирование плана интервью.
• Изучение документов (инструкции, процедуры и др.), описывающих порядок реализации процессов подразделений компании.
Этап сбора информации включает в себя:
• Проведение интервью с руководителями подразделений компании в целях установления направления их деятельности и получения сведений об используемых системах.
• Выявление бизнес-процессов компании (рекомендуется составлять схемы бизнес-процессов).
• Определение систем, используемых в рамках бизнес-процессов.
• Выявление третьих лиц, участвующих в работе бизнес-процессов и систем.
Этап анализа собранной информации включает в себя:
• Систематизацию собранной информации.
• Подготовку реестра бизнес-процессов компании.
В состав реестра рекомендуется также включать:
• наименование систем, функционирующих в рамках бизнес-процессов;
• сведения о третьих лицах, участвующих в бизнес-процессах.
Проведение инвентаризации позволяет получить более подробную картину бизнес-процессов компании и упростить реализацию последующих этапов категорирования.
#КИИ
👍8
CISO & DPO news #29 (14-21 июня 2024 года)
1/8 Лаборатория Касперского оценила стойкость пользовательских паролей.
2/8 На Национальную систему платежных карт (НСПК) произведена DDoS-атака.
3/8 В роутерах D-link выявлена уязвимость, связанная с обходом аутентификации.
4/8 Выявлена кампания распространения вредоносов под видом взломанного ПО.
5/8 Внесены изменения в Указ Президента РФ № 250.
6/8 Представлены результаты тестирования риск-модели деобезличивания персданных.
7/8 Страны БРИКС и ШОС выступили с инициативой создания стандарта обмена информацией.
8/8 Беларусь присоединится к соглашению СНГ об обмене данными.
1/8 Лаборатория Касперского оценила стойкость пользовательских паролей.
2/8 На Национальную систему платежных карт (НСПК) произведена DDoS-атака.
3/8 В роутерах D-link выявлена уязвимость, связанная с обходом аутентификации.
4/8 Выявлена кампания распространения вредоносов под видом взломанного ПО.
5/8 Внесены изменения в Указ Президента РФ № 250.
6/8 Представлены результаты тестирования риск-модели деобезличивания персданных.
7/8 Страны БРИКС и ШОС выступили с инициативой создания стандарта обмена информацией.
8/8 Беларусь присоединится к соглашению СНГ об обмене данными.
👍7
Какой тип атак нацелен на получение доступа к конфиденциальной информации путем обмана?
Anonymous Quiz
94%
Фишинг
0%
DoS-атака
5%
DDos-атака
1%
SQL-инъекция
🤔2👌1
Проведение фишинговой атаки с точки зрения злоумышленника можно представить в виде пяти шагов:
Шаг 1. Проведение разведки
Перед осуществлением фишинговой атаки, злоумышленники определяют цели нападения. Далее они собирают сведения (рабочая эл. почта, информация о руководстве и т. п.), что позволяет повысить вероятность успеха атаки.
Шаг 2. Разработка инструментов для проведения атаки
Мошенники могут ставить себе разные задачи при проведении фишинга – чаще всего это кража учетных данных и внедрение вредоносного ПО. Для кражи учетных данных мошенники создают фишинговые ресурсы, похожие на легитимные сервисы - эл. почта, веб-сайт соцсети или мобильное приложение банка. Вредоносное ПО может быть замаскировано под текстовый рабочий документ, например, проект договора или счет на оплату.
Шаг 3. Подготовка фишингового сообщения
Мошенники должны обойти два этапа проверок – технические спам-фильтры и человеческое недоверие. Чтобы жертва «клюнула» на сообщение, необходимо составить убедительное письмо, например, схожее с официальным обращением от известной организации.
Для обхода технических фильтров существует ряд различных техник. Стандартные действия – специфичная настройка доменного имени и почтового сервера. Более сложные техники могут включать отправку писем через формы обратной связи Google.
Шаг 4. Рассылка
Наиболее распространенными каналами для рассылок являются эл. почта, SMS или соцсети. При этом, мошенники делают рассылки постепенно, каждой жертве отдельно. Фишинговые сообщения делают персональными, без шаблонных фраз, так мошенники учитывают личность жертвы.
Шаг 5. Сбор и использование украденной информации
В результате удачной атаки злоумышленники получают доступ к устройству или конфиденциальные данные жертвы. Далее, злоумышленники могут продать полученные результаты другим хакерским группировкам или же могут проводить более сложные атаки, которые приведут к еще большим финансовым и репутационным потерям для компании.
#ИБ
#Социнженерия
Шаг 1. Проведение разведки
Перед осуществлением фишинговой атаки, злоумышленники определяют цели нападения. Далее они собирают сведения (рабочая эл. почта, информация о руководстве и т. п.), что позволяет повысить вероятность успеха атаки.
Шаг 2. Разработка инструментов для проведения атаки
Мошенники могут ставить себе разные задачи при проведении фишинга – чаще всего это кража учетных данных и внедрение вредоносного ПО. Для кражи учетных данных мошенники создают фишинговые ресурсы, похожие на легитимные сервисы - эл. почта, веб-сайт соцсети или мобильное приложение банка. Вредоносное ПО может быть замаскировано под текстовый рабочий документ, например, проект договора или счет на оплату.
Шаг 3. Подготовка фишингового сообщения
Мошенники должны обойти два этапа проверок – технические спам-фильтры и человеческое недоверие. Чтобы жертва «клюнула» на сообщение, необходимо составить убедительное письмо, например, схожее с официальным обращением от известной организации.
Для обхода технических фильтров существует ряд различных техник. Стандартные действия – специфичная настройка доменного имени и почтового сервера. Более сложные техники могут включать отправку писем через формы обратной связи Google.
Шаг 4. Рассылка
Наиболее распространенными каналами для рассылок являются эл. почта, SMS или соцсети. При этом, мошенники делают рассылки постепенно, каждой жертве отдельно. Фишинговые сообщения делают персональными, без шаблонных фраз, так мошенники учитывают личность жертвы.
Шаг 5. Сбор и использование украденной информации
В результате удачной атаки злоумышленники получают доступ к устройству или конфиденциальные данные жертвы. Далее, злоумышленники могут продать полученные результаты другим хакерским группировкам или же могут проводить более сложные атаки, которые приведут к еще большим финансовым и репутационным потерям для компании.
#ИБ
#Социнженерия
👍10🔥2
Ранее мы выяснили, что cookies – это персональные данные (ПДн), значит для их обработки необходимо обеспечить правовое основание. Для этого можно использовать cookie-баннер, при этом, законодательством РФ не предъявляются требования к его формату и содержанию.
Тем не менее, при выборе функционала cookie-баннера важно помнить о принципах предметности и конкретности согласия (ч. 1 ст. 9 152-ФЗ):
• Если на сайте обрабатываются только строго необходимые cookies, требуемые для его бесперебойной работы, то необходимо оповестить пользователя сайта о такой обработке ПДн.
Исходя из позиции Роскомнадзора, согласие на обработку ПДн может быть получено путем уведомления пользователя через всплывающее окно (пример в карточке 1).
• Если сайт обрабатывает строго необходимые и, например, статистические cookies, то баннер должен предусматривать возможность выбора обрабатываемых cookie – принять опциональные или оставить только строго необходимые (пример в карточке 2).
• Если на сайте обрабатываются более двух видов cookies, то необходимо предоставить возможность пользователю сайта отдельно согласиться на обработку каждого вида cookies. Требование возникает в связи с разными целями обработки данных у разных видов cookies.
Сделать это можно с помощью управления видами cookies (пример в карточке 3).
Важно, чтобы предпочтения пользователя по видам обрабатываемых cookies учитывались и сохранялись, а не просто создавали видимость выбора.
#Privacy
#ПолезноЗнать
Тем не менее, при выборе функционала cookie-баннера важно помнить о принципах предметности и конкретности согласия (ч. 1 ст. 9 152-ФЗ):
• Если на сайте обрабатываются только строго необходимые cookies, требуемые для его бесперебойной работы, то необходимо оповестить пользователя сайта о такой обработке ПДн.
Исходя из позиции Роскомнадзора, согласие на обработку ПДн может быть получено путем уведомления пользователя через всплывающее окно (пример в карточке 1).
• Если сайт обрабатывает строго необходимые и, например, статистические cookies, то баннер должен предусматривать возможность выбора обрабатываемых cookie – принять опциональные или оставить только строго необходимые (пример в карточке 2).
• Если на сайте обрабатываются более двух видов cookies, то необходимо предоставить возможность пользователю сайта отдельно согласиться на обработку каждого вида cookies. Требование возникает в связи с разными целями обработки данных у разных видов cookies.
Сделать это можно с помощью управления видами cookies (пример в карточке 3).
Важно, чтобы предпочтения пользователя по видам обрабатываемых cookies учитывались и сохранялись, а не просто создавали видимость выбора.
#Privacy
#ПолезноЗнать
👍10❤1