Вопрос:

Что может быть отнесено к «избыточной» обработке персональных данных?

Ответ:

Основополагающим нормативно-правовым документом в области обработки и обеспечения безопасности персональных данных в России (152-ФЗ) устанавливаются несколько принципов обработки персональных данных (ПДн). Один из принципов заключается в том, что обработка ПДн должна ограничиваться достижением конкретных, заранее определенных законных целей (ч. 2 ст. 5 152-ФЗ). При этом ПДн не должны быть избыточными по отношению к заявленным целям их обработки (ч. 5 ст. 5 152-ФЗ).
За обработку «избыточных» ПДн компания может быть привлечена к ответственности по ч. 1 ст. 13.11 КоАП РФ.

Примерами «избыточной» обработки ПДн могут являться:

▫️Сбор ненужных ПДн
🔸Компания собирает данные о месте работы или семейном положении при оформлении заказа в интернет-магазине.
🔸Компания собирает данные о семейном положении или историю болезни у кандидатов при подаче резюме.

▫️ Хранение ПДн после достижения цели обработки
🔸Компания продолжает хранить ПДн клиента после удаления аккаунта на сайте / приложении.
🔸Компания хранит копии всех документов бывшего работника, содержащие ПДн, «на случай, если он захочет вернуться».

▫️Нецелевое использование ПДн
🔸Использование системы видеонаблюдения для привлечения работника к ответственности за длительное отсутствие на рабочем месте при заявленной цели – обеспечение безопасности.
🔸Компания собирает данные о номере телефона у клиента в целях оформления доставки, но также использует его в целях рекламы других услуг.

▫️Мониторинг поведения / геолокации
🔸Компания использует файлы cookie для маркетинговых, аналитических или статистических целей без информирования и получения согласия пользователя.
🔸Приложение для отслеживания погоды требует постоянный сбор местонахождения устройства, несмотря на то что пользователь вручную указал город.

▫️Обогащение ПДн из открытых источников
🔸Компания использует ПДн, содержащихся в социальных сетях субъекта, для рекламы услуг, без его согласия.

▫️Дублирование ПДн
🔸Компания использует информацию о хобби или интересах субъекта из открытых источников для принятия решения о возможности оказания услуг.
🔸Компания использует информационные системы, которые содержат идентичные ПДн об одном субъекте.
🔸Компания собирает одни и те же данные у пользователя несколько раз (при регистрации на сайте и оформлении заказа).

#Privacy
#KeptОтвечает

CISO & DPO news #61 (10-16 февраля 2025 года)

▫️Обнаружен новый бэкдор FINALDRAFT
Исследователи Elastic Security Labs выявили использование бэкдора FINALDRAFT в кибератаках на внешнеполитическое ведомство Южной Америки и телекоммуникационную компанию в Юго-Восточной Азии. Злоумышленники загружали файлы с сервера с помощью утилиты certutil и использовали троян PATHLOADER для активации бэкдора через утилиту «mspaint.exe».

▫️Microsoft выпустила февральское обновление безопасности, устранив 55 уязвимостей
В феврале Microsoft выпустила обновление безопасности, включающее патчи для 63 уязвимостей, из которых четыре являются уязвимостями нулевого дня.

▫️Google Chrome тестирует функцию автоматической смены скомпрометированных паролей с помощью ИИ
Google тестирует в Chrome Canary функцию на основе ИИ, которая автоматически меняет пароли, обнаруженные в утечках данных. Новая опция, доступная в разделе «Экспериментальные ИИ-функции», добавляет обновленные пароли в менеджер паролей.
Для работы функции нужно активировать службу Automated Password Change, которая отслеживает скомпрометированные пароли.

▫️ФСТЭК России обнаружила более тысячи уязвимостей в 100 ГИС
ФСТЭК России выявила около 1200 уязвимостей в государственных информационных системах (ГИС), большинство из которых имеют критический или высокий уровень опасности.
Также ФСТЭК России сообщает что 47% субъектов КИИ находятся в критическом состоянии с точки зрения кибербезопасности, 40% — на низком уровне защищенности, и лишь 13% соответствуют минимально приемлемым требованиям безопасности.

▫️ФСТЭК России сообщил о разработке проекта нормативного акта, направленного на совершенствование требований защиты информации в ГИС
Документ распространяется на ГИС, иные информационные системы государственных органов, государственных унитарных предприятий, государственных учреждений. Вступление в силу новых требований запланировано на 1 марта 2026 г.

▫️Правительство РФ подготовило поправки в законодательство для борьбы с кибермошенничеством
Поправки предусматривают, в том числе:
🔸Создание госинфосистемы для выявления мошенников.
🔸Обвязывание банков, операторов связи и маркетплейсов предоставлять пользователям возможность авторизовываться через биометрию.
🔸 Введение обязательной маркировки телефонных звонков.

▫️Обсуждается возможность доступа представителей силовых органов к коммерческим базам данных, содержащим ПДн
Ассоциация больших данных выразила обеспокоенность по поводу предложенных поправок к законодательству, подразумевающих предоставление правоохранительным органам доступа к коммерческим базам ПДн. В частности, предлагается разрешить ведомствам удаленно вносить и удалять записи, связанных с работниками правоохранительных органов, в базах данных компаний.

▫️Telegram оштрафован за публикацию ПДн
Мировым судом Таганского района Москвы оштрафован мессенджер Telegram на 240 тыс. руб. за публикацию ПДн россиян. Судья признала компаниюTelegram Messenger Inc. виновной в совершении административного правонарушения за незаконную публикацию ПДн.

IoT (Internet of Things, Интернет вещей) – это инфраструктура для «умной» среды, где через интернет или локальную сеть (LAN) устройства могут обмениваться информацией, в режиме реального времени реагировать на изменения окружающей среды и автономно выполнять задачи. IoT-сети позволяют управлять широким спектром объектов, от бытовой техники до промышленных систем и городской инфраструктуры.
 
Отдельные задачи, которые решает IoT:

1️⃣Сбор данных с помощью физических IoT-устройств (датчиков, систем контроля доступа, трекеров местоположения, RFID-меток).
2️⃣Передача данных через беспроводные каналы передачи данных (Wi-Fi, Bluetooth, Zigbee, NB-IoT) или проводные сети (Ethernet, RS-485).
3️⃣Принятие решений на основе обработанных данных (включение вентиляции при превышении температуры).
4️⃣Удаленное управление IoT-устройством через интерфейс, где пользователь, при необходимости, может отправить команду на устройство.
 
Количество IoT-устройств по всему миру стремительно растет, однако вместе с удобством и автоматизацией увеличиваются и риски безопасности, причинами которых могут быть:

1️⃣Небольшие вычислительные ресурсы таких устройств ограничивают использование современных методов шифрования и защиты.
2️⃣Отсутствие регулярных обновлений и предустановленные пароли от производителя IoT-устройств, которые осознанно остаются неизменными. В результате чего злоумышленники могут получить доступ к устройству.
3️⃣Физическая доступность – некоторые IoT-устройства не имеют защиты от аппаратного вмешательства, что позволяет злоумышленнику получить полный доступ к контроллеру.
4️⃣Передача данных по незащищенным протоколам и подключение к публичным Wi-Fi-сетям может привести к перехвату и модификации трафика.
5️⃣Отсутствие международных стандартов совместимости может создать сложности при подключении и взаимодействии IoT-устройств разных производителей в единой системе, а также вызвать проблемы с функциональностью, обменом данными и обновлениями. Причиной может являться использование устройствами разных протоколов, которые могут быть нестандартными, устаревшими или несовместимыми с централизованными системами безопасности.
 
Все это делает IoT-устройства легкой мишенью для атак, которые могут привести к взлому инфраструктуры и использованию устройств в целях злоумышленника, как в случае с ботнетом Mirai, который заражал устройства, используя логины и пароли, установленные по умолчанию.

#ИБ

Публикуем одиннадцатый выпуск «Непропустимых» событий ИБ. Мы активно следим за интересными мероприятиями по тематике информационной безопасности и приватности. Сегодня представляем наши рекомендации на март 2025 года.

Подборка мероприятий в файле под этим постом ⬇️

#Непропустимыесобытия

Согласно ст. 3 Федерального закона от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», архивный документ – это материальный носитель с зафиксированной на нем информацией, который имеет реквизиты, позволяющие его идентифицировать, и подлежит хранению в силу значимости указанных носителя и информации.
 
При этом более детальное описание того как следует организовать архивное хранение отражено в Приказе Росархива № 77 от 31.07.2023 г. и Приказе Росархива № 236 от 20.12.2019.
 
Так, при организации архивного хранения в компании следует:

▫️Разработать внутренние регламенты, определяющие порядок обработки и хранения документов, включая положение о защите данных.
▫️Установить четкие сроки хранения документов в соответствии с законодательством.
▫️Обеспечить физическую безопасность бумажных носителей, используя сейфы или помещения с ограниченным доступом.
▫️Для электронных документов рекомендуется осуществляться хранение в формате, который гарантирует их долговременную воспроизводимость и защиту данных от потерь.
▫️Проводить регулярную пересмотр архивных документов с целью выявления документов с истекшими сроками хранения.
▫️Уничтожать документы по истечении срока хранения в соответствии с установленной процедурой, что также должно быть задокументировано.
 
Согласно п. 2 ч. 2 ст. 1 152-ФЗ на отношения, возникающие при организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда РФ и других архивных документов в соответствии с законодательством об архивном деле в РФ не распространяется действие 152-ФЗ. 
 
Соответственно если компания переедет организацию процесса архивного хранения подрядчику, при этом передаваемые для архивного хранения документы содержат персональные данные, то компании необходимо заключить поручение на обработку ПДн с подрядчиком. Если компания передает на хранение уже сформированный ею самостоятельно архив, то 152-ФЗ не будет распространяться и поручение заключать не требуется.
 
Поскольку сегодня многие компании перешли на электронный документооборот, релевантно рассмотреть вопрос о переводе документов в архивный статус с использованием системы кадрового электронного документооборота (КЭДО).

Так, компаниям, которые используют систему КЭДО следует:

▫️Подготовить документы, упорядочив их и убедившись, что они соответствуют требованиям законодательства.
▫️Отсканировать документы, чтобы получить файлы в формате PDF.
▫️Сформировать электронный архивный документ, который должен включать основной файл, файлы приложений, файлы электронной подписи, метаданные о документе.
▫️Загрузить электронные документы в систему КЭДО, где они будут автоматически зарегистрированы для архивного хранения.
▫️Установить срок хранения.
▫️Обеспечить регулярное резервное копирование и доступ к архиву для будущего использования.

#Privacy
#ПолезноЗнать

Вопрос:

Для чего нужна SOAR-система?

Ответ:

SOAR (Security Orchestration, Automation and Response) — это класс программных решений, предназначенных для координации, управления и автоматизации работы систем безопасности. SOAR-системы способны агрегировать и обрабатывать информацию из множества источников, таких как:
▫️SIEM-системы;
▫️Антивирусное ПО;
▫️DLP-системы;
▫️Инструменты анализа угроз (Threat Intelligence);
▫️Межсетевые экраны.

Использование SOAR-системы также оптимизирует работу команды безопасности, позволяя меньшему количеству специалистов эффективно справляться с большим объемом задач.

Основные функции SOAR-системы:
▫️собирает и анализирует данные из различных источников;
▫️автоматизирует выполнение повторяющихся задач с помощью плейбуков – заранее разработанных сценариев реагирования на инциденты, которые определяют последовательность необходимых действий;
▫️интегрирует и координирует работу различных инструментов безопасности, организуя единый процесс реагирования на инциденты, что позволяет сократить время реагирования и минимизировать потенциальный ущерб;
▫️предоставляет централизованную картину всех событий безопасности, упрощая анализ и выявление скрытых угроз;
▫️формирует отчеты различного наполнения и детализации, а также предоставляет широкие возможности для визуализации данных (например, создание дашбордов, на которых в реальном времени будет отображаться информация об инцидентах, их статусе расследования и принятых мерах).

SOAR — это не просто набор инструментов, а стратегический подход к управлению кибербезопасностью, позволяющий организациям эффективно противостоять современным угрозам и защищать свои активы.

#ИБ
#KeptОтвечает

CISO & DPO news #62 (17-23 февраля 2025 года)

▫️AMD устранила шесть уязвимостей в процессорах EPYC и Ryzen

Уязвимости предоставляли следующие возможности:
🔸открывали доступ к выполнению произвольного кода;
🔸позволяли администратору с доступом к хост-окружению прочитать незашифрованное содержимое памяти;
🔸давали возможность обходить средства защиты целостности памяти виртуальных машин;
🔸позволяли привилегированному атакующему нарушить целостность памяти гостевой системы.
 
▫️Опубликован отчет по анализу киберугроз в России и СНГ

Компанией F6 был подготовлен отчет, в котором исследователи отметили рост количества APT-группировок, количества DDoS-атак, а также о том, что персональные данные остаются главной целью вымогателей.
 
▫️Подведены итоги по кибераткам на банки за 2024 г.

Эксперты Solar JSOC зафиксировали в 2024 г. рост атак на финансовый сектор России. Основные угрозы — внутреннее сканирование сети, эксплуатация уязвимостей и заражение вредоносным ПО.
 
▫️Более четверти вирусов в госучреждениях занимаются добычей криптовалют

Количество вирусов-майнеров, которыми заражены госорганы и государственные организации, увеличилось за четвертый квартал 2024 г. на 9%. На их долю приходится более четверти всех вирусов. Эксперты связывают рост заражений госучреждений майнерами с недостатком финансирования информационной безопасности и нехваткой профильных специалистов на местах.
 
▫️Обсуждается возможность исключения уголовной ответственности для специалистов в области ИБ

Между Минцифры, представителями Совета Федерации и компаниями, оказывающими услуги в области информационной безопасности, идет обсуждение по поводу выведения соответствующих специалистов из зоны ответственности по ст. 272.1 УК РФ.
 
▫️Использование технологии дипфейка предлагается приравнять к отягчающему обстоятельству

Глава Минцифры на форуме «Кибербезопасность в финансах» заявил, что использование дипфейков может стать отягчающим обстоятельством при совершении преступлений
 
▫️Представлены проекты постановлений Правительства РФ о ГИС, для обработки обезличенных ПДн

Для общественного обсуждения представлены проекты двух постановлений Правительства РФ о ГИС, предназначенной для обработки персональных данных, полученных в результате обезличивания ПДн:
🔸Первое постановление  предлагает определить федеральную ГИС «Единая информационная платформа национальной системы управления данными» в качестве системы, предназначенной для обработки ПДн, полученных в результате обезличивания персональных данных (ч. 2, 7 ст. 13.1 152-ФЗ).
🔸Второе постановление  определяет требования к правилам проверки пользователей ГИС (ч. 7 ст. 13.1 152-ФЗ)
 
▫️Представлена оценка роста рынка ИБ

По результатам 2024 г. рынок защиты информации в России вырос на 20%, при этом предполагается, что в 2025 г. рынок вырастет еще на 23%. Частично рост спроса на решения для защиты информации обусловлен ужесточением требований законодательства (ст. 13.11 КоАП).

Название CAPTCHA – это аббревиатура, которая расшифровывается как «Completely Automated Public Turing test to tell Computers and Humans Apart». Идея названия связана с тем, что CAPTCHA представляет собой автоматизированную версию теста Тьюринга – метода, предложенного британским математиком Аланом Тьюрингом для определения, может ли машина демонстрировать интеллектуальное поведение, неотличимое от человеческого. В случае CAPTCHA задача упрощена: система должна определить, является ли пользователь человеком, а не оценивать его интеллект. Название подчеркивает основную цель технологии – отличать людей от ботов, сохраняя при этом автоматизированный и публичный характер теста.

CAPTCHA эволюционировала с момента своего появления, и сегодня существует множество её разновидностей:
▫️Текстовая. Классический вид CAPTCHA, в которой пользователю предлагается ввести буквы, цифры и символы, изображенные на искаженной картинке;
▫️Графическая. Пользователю предлагается выполнить задачу, связанную с изображениями. Например, найти все светофоры или нажать в правильной последовательности на символы, изображенные на картинке;
▫️Математическая. Пользователю предлагается решить простую математическую задачу, например, сложить 2 числа;
▫️Поведенческая. Этот вид CAPTCHA анализирует поведение пользователя на сайте – скорость движения мышки, клики, прокрутку страницы и т.д. Если поведение кажется подозрительным, система может запросить дополнительную проверку;
▫️Игровая. Пользователю предлагается выполнить просто игровое действие, например, повернуть объект или собрать пазл;
▫️Аудио. Альтернатива для людей с нарушением зрения. Пользователь прослушивает аудиозапись с искаженной речью или цифрами и вводит услышанное.

Таким образом, CAPTCHA помогает защищать сайты от спама, автоматической регистрации, DDoS-атак и других злонамеренных действий ботов.

#ИБ

В условиях стремительного роста кибератак традиционный реактивный подход к информационной безопасности уже неэффективен. Организациям необходимо не только реагировать на инциденты, но и предугадывать потенциальные угрозы. Для этого используется Threat Intelligence (TI) — процесс, позволяющий с помощью соответствующих решений выявлять угрозы до их реализации и минимизировать риски.
 
Результатами TI являются аналитически обработанные данные об угрозах, объединяющие:

▫️контекст — сведения о происхождении и механизмах угроз;
▫️индикаторы компрометации (IoC) — технические признаки атак, например, хэши вредоносных файлов или IP-адреса, используемые злоумышленниками;
▫️взаимосвязи — связи между угрозами, их целями и методами реализации.
 
Эти данные проходят этапы сбора, нормализации, обогащения дополнительной информацией и анализа. В результате формируется «карточка» угрозы, которую специалисты используют для оценки рисков и принятия решений.
 
TI подразделяется на три уровня:

▫️операционный (технический) — IoCиспользуются для автоматического выявления и блокировки угроз. Злоумышленники могут быстро менять IP-адреса, домены и другие индикаторы, некоторые IoC имеют ограниченный срок жизни. Поэтому операционный уровень нуждается в постоянном обновлении данных;
▫️тактический — анализ тактик, техник и методов злоумышленников (TTP), позволяющий прогнозировать возможные атаки и разрабатывать проактивные меры защиты;
▫️стратегический — разработка глобальных аналитических отчётов о тенденциях угроз, используемых для долгосрочного планирования ИБ.
 
Стоит учитывать, что эффективное применение TI требует работы на всех трёх уровнях.
 
Основные преимущества использования TI:

▫️проактивная защита — TI позволяет предвидеть атаки и принимать меры предосторожности, а не просто реагировать на уже произошедший инцидент;
▫️экономия ресурсов — благодаря фокусу на самых актуальных и опасных угрозах возможно оптимизировать расходы на безопасность и избежать ненужных трат;
▫️эффективное принятие решений — TI предоставляет ценную информацию для директора по ИБ (CISO), позволяя принимать стратегические решения в области кибербезопасности. 
 
Основные трудности внедрения TI связаны сразнообразием источников данных и отсутствием единых стандартов, необходимостью автоматизированной обработки большого объёма информации, а также сложностью оценки эффективности TI из-за отсутствия универсальных метрик.
 
Для эффективной работы с TI необходимоопределить цели внедрения и ожидаемые результаты, использовать специализированную платформу для управления киберразведданными и регулярно оценивать качество источников и устранять неактуальные или недостоверные данные.
 
Threat Intelligence — это ключевой элемент информационной безопасности, позволяющий не только выявлять угрозы, но и предугадывать возможные атаки. Компании, применяющие TI, могут снизить риски и повысить устойчивость к кибератакам благодаря своевременному доступу к актуальной информации об угрозах.

#ИБ
#ПолезноЗнать

Вступило в силу 17 февраля 2025 г.:

Стандарт Банка России об обеспечении безопасности использования QR-кодов при осуществлении переводов денежных средств (СТО БР БФБО-1.9-2024)
▫️для кого: кредитные организации, некредитные финансовые организации, операторы платежных систем, клиринговый центр СБП и организации, участвующие в осуществлении переводов денежных средств через QR-коды, поставщики ПО, применяемого для платежей и перевод с использованием QR-кодов.
▫️что делать: обеспечить безопасное применение QR-кодов при осуществлении переводов денежных средств путем:
🔸выделения технологических участков и подэтапов процессов осуществления переводов денежных средств с использованием QR-кодов;
🔸определения риска ИБ на технологических участках и подэтапах процессов осуществления переводов денежных средств с использованием QR-кодов, актуальных угроз безопасности информации и мер защиты информации для снижения выявленного риска;
🔸стандартизации взаимодействия участников процессов осуществления переводов денежных средств с использованием QR-кодов;
🔸внедрения единых правил формирования и использования QR-кодов в процессах осуществления переводов денежных средств на основе международных стандартов.

#ДеЮре

Вопрос:

Что такое дефейс сайта?

Ответ:

Дефейс (deface) – изменение внешнего вида страницы веб-сайта злоумышленником. При этом доступ к остальной части сайта может блокироваться, а на обновленной странице будет располагаться реклама, предупреждение, сообщение или угроза. Подобные кибератаки могут привести к серьезному удару по репутации компании и отпугнуть клиентов.

Дефейсеры – это не просто одиночки, взламывающие сайты ради забавы. У них есть развитое сообщество со своей внутренней иерархией и конкуренцией. Существуют публичные архивы, где документируются успешные дефейсы. Эти архивы служат своеобразной «доской почета», где конкурирующие группы выставляют напоказ результаты своих взломов и следят за достижениями соперников, подсчитывая очки за каждый взломанный сайт.

Для того чтобы получить несанкционированный доступ и изменить контент сайта, злоумышленники используют различные уязвимости в веб-приложениях или серверах, например:
▫️внедрение SQL-инъекции в запросы для получения доступа к базе данных и изменения контента;
▫️межсайтовое выполнение сценариев – внедрение вредоносных скриптов на веб-страницу, которые выполняются при открытии сайта пользователем;
▫️получение доступа к учетным записям администратора сайта;
▫️эксплуатация известных уязвимостей в системах управления контентом (CMS) и установленных плагинах.

Чем опасен дефейс?
▫️ущерб репутации – дефейс может подорвать доверие клиентов и партнеров;
▫️потеря трафика – посетители могут покинуть сайт и больше не возвращаться;
▫️SEO-проблемы (Search EngineOptimization) – поисковые системы могут понизить рейтинг сайта или даже заблокировать его;
▫️штрафы и иные санкции – в случае размещения на сайте противоправной или нарушающей закон информации.

Как защититься от дефейса?
▫️устанавливайте последние обновления безопасности, чтобы закрыть известные уязвимости;
▫️создавайте уникальные и сложные пароли для всех учетных записей;
разрешите доступ к панели управления только доверенным пользователям;
▫️регулярно делайте резервные копии для быстрого восстановления после атаки дефейсеров;
▫️используйте систему WAF для блокировки вредоносного трафика и защиты сайта от кибер-атак;
▫️проводите регулярное сканирование на уязвимости с использованиемспециализированных инструментов для выявления уязвимостей вашего веб-ресурса.

Дефейс представляет угрозу для организаций любого масштаба, однако, применяя комплексный подход к обеспечению безопасности, можно значительно снизить риск таких атак и обеспечить стабильное функционирование веб-ресурса.

#ИБ
#KeptОтвечает

CISO & DPO news #63 (24 февраля - 2 марта 2025 года)

▫️Обнаружена критическая уязвимость в MITRE Caldera

В популярном инструменте для киберучений и автоматизации тестирования безопасности MITRE Caldera обнаружена критическая уязвимость, позволяющая атакующим удаленно выполнять произвольный код. Исследователи уже раскрыли детали уязвимости, что повышает риск ее эксплуатации злоумышленниками.
 
▫️Вредонос GhostSocks использует прокси SOCKS5 для обхода систем обнаружения

Новый вредонос GhostSocks применяет прокси-протокол SOCKS5 для скрытого трафика и обхода систем киберзащиты. Это позволяет хакерам поддерживать устойчивый доступ к скомпрометированным устройствам и организовывать вредоносные операции, оставаясь незамеченными.
 
▫️Обнаружен троян, проводящий атаки в сферах энергетики, здравоохранения и логистики

Вредоносное ПО FatalRAT используется хакерами для атак на промышленные организации, проникая в системы энергетики, здравоохранения и логистики. В списке затронутых стран оказались Тайвань, Малайзия, Китай, Япония, Таиланд, Южная Корея, Сингапур, Филиппины, Вьетнам и Гонконг.
 
▫️Опубликован Федеральный закон № 23-ФЗ о внесении изменений в 152-ФЗ и иные законы РФ

Изменения в 152-ФЗ включают в себя, в том числе:
🔸уточнение требований к локализации баз данных ПДн;
🔸новые требования к обработке ПДн сотрудников силовых ведомств и судей.
Новая редакция 152-ФЗ вступает в силу с 01.07.2025 г.
 
▫️Предложено проверять возраст всех интернет-пользователей

Уполномоченный по правам человека в РФ предложил законодательно регламентировать процесс верификации возраста пользователей в интернете для защиты детей от негативного контента. В докладе за 2024 г. отмечено, что текущие механизмы позволяют любому пользователю получить доступ к материалам «18+» без реальной проверки возраста.
 
▫️Предложено информировать граждан о случаях хищения ПДн

Уполномоченный по правам человека в РФ считает необходимым обязать организации уведомлять граждан об утечках их ПДн. Это даст людям возможность предпринять защитные меры, например, заменить банковские карты или установить запрет на оформление кредитов. В настоящее время операторы ПДн обязаны информировать об утечках только Роскомнадзор, но не пострадавших граждан.
 
▫️ФСТЭК России опубликовало финальную версию проекта стандарта по защите информации

На сайте ФСТЭК России доступна окончательная редакция проекта национального стандарта ГОСТ Р «Защита информации. Системы с конструктивной информационной безопасностью. Методология разработки». Документ устанавливает методологию разработки систем с конструктивной информационной безопасностью.
 
▫️ФСТЭК России вынесла на обсуждение порядок лицензионного контроля в сфере защиты информации

ФСТЭК России вынесла на общественное обсуждение проект приказа, устанавливающий сроки и порядок административных процедур по лицензионному контролю за разработкой и производством средств защиты конфиденциальной информации. Документ определяет регламент проведения плановых и внеплановых проверок лицензиатов.