Решили сегодня поделиться с вами впечатлениями от невероятной конференции Defcon, которая состоялась 18 августа🤩
Defcon Penza - это ежегодная офлайн-конференция по кибербезопасности, в которой принимают участие практикующие специалисты по ИБ и пентестеры с разных уголков России. Участники выступали офлайн и подключались к конференции онлайн, так что каждый заинтересованный мог посмотреть трансляцию.
В этом году темы были более чем актуальные:📯
🔸 Теория и практика DDoS - Дмитрий Лымбин (Secware, Пенза)
🔸 Почему у разработчиков будет болеть... голова, если моделировать угрозы будет безопасник? - Светлана Газизова (Swordfish Security, Москва)
🔸Проблемы кадрового обеспечения компаний специалистами конкурентной разведки - Илья Одинцов (независимый эксперт, Москва)
Нам было безумно интересно! 🤓
Следующую конференцию планируем провести осенью 2022 – анонс разместим в нашей группе ВКонтакте
Будем рады встрече с каждым участником, независимо от его опыта и возраста😉
Defcon Penza - это ежегодная офлайн-конференция по кибербезопасности, в которой принимают участие практикующие специалисты по ИБ и пентестеры с разных уголков России. Участники выступали офлайн и подключались к конференции онлайн, так что каждый заинтересованный мог посмотреть трансляцию.
В этом году темы были более чем актуальные:📯
🔸 Теория и практика DDoS - Дмитрий Лымбин (Secware, Пенза)
🔸 Почему у разработчиков будет болеть... голова, если моделировать угрозы будет безопасник? - Светлана Газизова (Swordfish Security, Москва)
🔸Проблемы кадрового обеспечения компаний специалистами конкурентной разведки - Илья Одинцов (независимый эксперт, Москва)
Нам было безумно интересно! 🤓
Следующую конференцию планируем провести осенью 2022 – анонс разместим в нашей группе ВКонтакте
Будем рады встрече с каждым участником, независимо от его опыта и возраста😉
OFFZONE 2022
25 и 26 августа в центре LOFT HALL состоялась третья конференция по практической кибербезопасности OFFZONE 2022. Она объединила различные Компании, а также независимых специалистов по информационной безопасности и разработчиков ПО.
Специалисты компании Secware и представители Пензенского Defcon тоже приняли участие в конференции. В рамках конференции изучили актуальные способы защиты IT-систем, а также поиск уязвимостей и пентест элементов защищенного периметра.
За два дня на пяти треках докладов и трех мастер-классах выступили 68 экспертов из компаний ВКонтакте, “Авито”, “Тинькофф”, “Лаборатория Касперского”, Positive Technologies, Сбер, BI.ZONE и др.
Также на OFFZONE 2022 была представлена платформа BI.ZONE Bug Bounty, на которой за 2 дня конференции зарегистрировалось 235 багхантеров. Там уже доступна публичная программа BI.ZONE, поучаствовав в которой исследователи могут получить до 300 тысяч рублей за найденные уязвимости. Вскоре на платформе также появится публичная программа “Авито”.
25 и 26 августа в центре LOFT HALL состоялась третья конференция по практической кибербезопасности OFFZONE 2022. Она объединила различные Компании, а также независимых специалистов по информационной безопасности и разработчиков ПО.
Специалисты компании Secware и представители Пензенского Defcon тоже приняли участие в конференции. В рамках конференции изучили актуальные способы защиты IT-систем, а также поиск уязвимостей и пентест элементов защищенного периметра.
За два дня на пяти треках докладов и трех мастер-классах выступили 68 экспертов из компаний ВКонтакте, “Авито”, “Тинькофф”, “Лаборатория Касперского”, Positive Technologies, Сбер, BI.ZONE и др.
Также на OFFZONE 2022 была представлена платформа BI.ZONE Bug Bounty, на которой за 2 дня конференции зарегистрировалось 235 багхантеров. Там уже доступна публичная программа BI.ZONE, поучаствовав в которой исследователи могут получить до 300 тысяч рублей за найденные уязвимости. Вскоре на платформе также появится публичная программа “Авито”.
Уязвимые плагины Wordpress #06: SQL Injection и XSS в WordPress Core
Всем привет, сегодня снова смотрим что там с уязвимостями WordPress и его плагинами.
В последний день лета обнаружены 3 серьезные проблемы в самом WordPress до 6.0.2:
🔸SQL Injection через Links LIMIT
🔸Stored Cross-Site Scripting через функцию the_meta
🔸Stored Cross-Site Scripting через Plugin Deactivation и ошибки в Deletion
Уязвимость SQL Injection получила рейтинг CVSSv3 8.0 (Высокий) и существует во всех устаревших версиях WordPress. WordPress Link, ранее известная как «Bookmarks», больше не включена по умолчанию в новых установках WordPress. На старых сайтах эта функциональность все еще может быть включена, а это означает, что миллионы устаревших сайтов потенциально уязвимы. Однако эта уязвимость требует прав администратора для успешной эксплуатации.
Уязвимые версии WordPress не могли очистить аргумент “limit” запроса на получение ссылок в функции “get_bookmarks”, используемый для обеспечения возврата определенного количества ссылок. В конфигурации по умолчанию только устаревший виджет Links вызывает функцию “get_bookmarks” таким образом, что этот аргумент может быть установлен пользователем.
Одна из Stored Cross-Site Scripting получила рейтинг CVSSv3 4.9 (Средний), поскольку требует дополнительные привилегии для эксплуатации.
Создатели контента WordPress, такие как Contributors, Editors, Authors и Administrators, имеют возможность добавлять настраиваемые поля на любую страницу и созданную публикацию. Это делается для того, чтобы создатели контента сайта могли добавлять и связывать дополнительные данные с сообщениями и страницами.
В WordPress есть несколько функций, доступных владельцам сайтов для отображения настраиваемых полей, созданных и связанных с записями и страницами. Одной из этих функций является функция “the_meta”, которая извлекает предоставленные данные настраиваемых полей сообщения или страницы, которые хранятся как метаданные сообщения, с помощью функций “get_post_custom_keys” и “get_post_custom_values”. Как только настраиваемые поля для поста/страницы получены, функция выводит post meta keys и данные значений в виде списка. К сожалению, в версиях ниже 6.0.2 эти данные не экранировались при выводе, что позволяло выполнять любые внедряемые скрипты в meta keys.
Другая Stored Cross-Site Scripting получила рейтинг CVSSv3 4.7 (Средний) и сложна для эксплуатации.
Уязвимость проявляется через сообщения об ошибках, которые отображаются, когда плагин был деактивирован из-за ошибки или когда плагин не может быть удален из-за ошибки. Поскольку эти сообщения об ошибках не экранированы, любой JavaScript, присутствующий в этих сообщениях, будет выполняться в сеансе браузера администратора, посещающего страницу плагинов. Эта уязвимость потребует установки на сайт отдельного вредоносного или уязвимого плагина или другого кода, что обычно требует, чтобы администратор установил его самостоятельно. Почти во всех случаях, когда эта уязвимость может быть использована, злоумышленник уже прочно закрепился на уязвимом сайте.
Все вышеуказанные проблемы WordPress уже устранены в самой последней на данный момент версии 6.0.2. Рекомендуем скорее обновиться до нее.
Кроме того за август нашлись проблемы в следующих плагинах:
🔸WordPress Robo Gallery 3.2.1
🔸WordPress Plugin Duplicator
🔸WordPress Testimonial Slider And Showcase 2.2.6
🔸WordPress Plugin WP-UserOnline 2.87.6
🔸Transposh WordPress Translation 1.0.8.1
В плагине WordPress Robo Gallery версии 3.2.1 обнаружены сразу 2 проблемы - XSS-Stored и Bypass POST comment approvement. XSS обнаружена в форме отправки сообщений. Уязвимость обхода одобрения комментария может быть использована для загрузки вредоносного URL-адреса после одобрения комментария администратором. Для плагина пока не выпущено обновлений безопасности, поэтому рекомендуем временно исключить его использование.
В WordPress Plugin Duplicator версии 1.4.7.1 найдена уязвимость, которая позволяет любому пользователя скачать Backup после обновления 1.4.7.
Всем привет, сегодня снова смотрим что там с уязвимостями WordPress и его плагинами.
В последний день лета обнаружены 3 серьезные проблемы в самом WordPress до 6.0.2:
🔸SQL Injection через Links LIMIT
🔸Stored Cross-Site Scripting через функцию the_meta
🔸Stored Cross-Site Scripting через Plugin Deactivation и ошибки в Deletion
Уязвимость SQL Injection получила рейтинг CVSSv3 8.0 (Высокий) и существует во всех устаревших версиях WordPress. WordPress Link, ранее известная как «Bookmarks», больше не включена по умолчанию в новых установках WordPress. На старых сайтах эта функциональность все еще может быть включена, а это означает, что миллионы устаревших сайтов потенциально уязвимы. Однако эта уязвимость требует прав администратора для успешной эксплуатации.
Уязвимые версии WordPress не могли очистить аргумент “limit” запроса на получение ссылок в функции “get_bookmarks”, используемый для обеспечения возврата определенного количества ссылок. В конфигурации по умолчанию только устаревший виджет Links вызывает функцию “get_bookmarks” таким образом, что этот аргумент может быть установлен пользователем.
Одна из Stored Cross-Site Scripting получила рейтинг CVSSv3 4.9 (Средний), поскольку требует дополнительные привилегии для эксплуатации.
Создатели контента WordPress, такие как Contributors, Editors, Authors и Administrators, имеют возможность добавлять настраиваемые поля на любую страницу и созданную публикацию. Это делается для того, чтобы создатели контента сайта могли добавлять и связывать дополнительные данные с сообщениями и страницами.
В WordPress есть несколько функций, доступных владельцам сайтов для отображения настраиваемых полей, созданных и связанных с записями и страницами. Одной из этих функций является функция “the_meta”, которая извлекает предоставленные данные настраиваемых полей сообщения или страницы, которые хранятся как метаданные сообщения, с помощью функций “get_post_custom_keys” и “get_post_custom_values”. Как только настраиваемые поля для поста/страницы получены, функция выводит post meta keys и данные значений в виде списка. К сожалению, в версиях ниже 6.0.2 эти данные не экранировались при выводе, что позволяло выполнять любые внедряемые скрипты в meta keys.
Другая Stored Cross-Site Scripting получила рейтинг CVSSv3 4.7 (Средний) и сложна для эксплуатации.
Уязвимость проявляется через сообщения об ошибках, которые отображаются, когда плагин был деактивирован из-за ошибки или когда плагин не может быть удален из-за ошибки. Поскольку эти сообщения об ошибках не экранированы, любой JavaScript, присутствующий в этих сообщениях, будет выполняться в сеансе браузера администратора, посещающего страницу плагинов. Эта уязвимость потребует установки на сайт отдельного вредоносного или уязвимого плагина или другого кода, что обычно требует, чтобы администратор установил его самостоятельно. Почти во всех случаях, когда эта уязвимость может быть использована, злоумышленник уже прочно закрепился на уязвимом сайте.
Все вышеуказанные проблемы WordPress уже устранены в самой последней на данный момент версии 6.0.2. Рекомендуем скорее обновиться до нее.
Кроме того за август нашлись проблемы в следующих плагинах:
🔸WordPress Robo Gallery 3.2.1
🔸WordPress Plugin Duplicator
🔸WordPress Testimonial Slider And Showcase 2.2.6
🔸WordPress Plugin WP-UserOnline 2.87.6
🔸Transposh WordPress Translation 1.0.8.1
В плагине WordPress Robo Gallery версии 3.2.1 обнаружены сразу 2 проблемы - XSS-Stored и Bypass POST comment approvement. XSS обнаружена в форме отправки сообщений. Уязвимость обхода одобрения комментария может быть использована для загрузки вредоносного URL-адреса после одобрения комментария администратором. Для плагина пока не выпущено обновлений безопасности, поэтому рекомендуем временно исключить его использование.
В WordPress Plugin Duplicator версии 1.4.7.1 найдена уязвимость, которая позволяет любому пользователя скачать Backup после обновления 1.4.7.
А ещё в WordPress Plugin Duplicator версии 1.4.7 и ниже обнаружена возможность получения дополнительной информации о системе через вызов main.installer.php. В версии до 1.4.7 через main.installer.php можно получить файлы Backup. Рекомендуем обновить данный плагин до последней версии.
В плагинах WordPress Testimonial Slider And Showcase версии 2.2.6 в параметре post_title и WordPress Plugin WP-UserOnline версии 2.87.6 и ниже в User(s) Browsing Site обнаружены Stored XSS. Для плагина пока не выпущено обновлений безопасности, поэтому рекомендуем временно исключить его использование.
В фильтре Transposh WordPress Translation версии 1.0.8.1 и ниже обнаружена уязвимость некорректной авторизации. Данная уязвимость CVE-2022-2536 получила рейтинг CVSSv3 7.5 (Высокий). Успешная эксплуатация позволяет злоумышленнику, не прошедшему проверку подлинности, обойти разрешения Transposh и добавить переводы на сайт WordPress, тем самым повлияв на то, что отображается на сайте. На официальной странице плагина сообщается, что прекращена его поддержка. Рекомендуем исключить его использование.
Очередной месяц - очередная пачка уязвимых плагинов. Часть из них уже не поддерживается, либо отсутствуют патчи безопасности.
Рекомендуем своевременно обновляться и следить за нашей подборкой уязвимых плагинов, чтобы не пропустить уязвимый плагин на вашем сайте.
В плагинах WordPress Testimonial Slider And Showcase версии 2.2.6 в параметре post_title и WordPress Plugin WP-UserOnline версии 2.87.6 и ниже в User(s) Browsing Site обнаружены Stored XSS. Для плагина пока не выпущено обновлений безопасности, поэтому рекомендуем временно исключить его использование.
В фильтре Transposh WordPress Translation версии 1.0.8.1 и ниже обнаружена уязвимость некорректной авторизации. Данная уязвимость CVE-2022-2536 получила рейтинг CVSSv3 7.5 (Высокий). Успешная эксплуатация позволяет злоумышленнику, не прошедшему проверку подлинности, обойти разрешения Transposh и добавить переводы на сайт WordPress, тем самым повлияв на то, что отображается на сайте. На официальной странице плагина сообщается, что прекращена его поддержка. Рекомендуем исключить его использование.
Очередной месяц - очередная пачка уязвимых плагинов. Часть из них уже не поддерживается, либо отсутствуют патчи безопасности.
Рекомендуем своевременно обновляться и следить за нашей подборкой уязвимых плагинов, чтобы не пропустить уязвимый плагин на вашем сайте.
Безопасные программные решения - SECWARE.
Наша компания уже более 5 лет на рынке кибертехнологий обеспечивает безопасное нахождение в Сети для организаций в самых разных нишах.
Мы специализируемся на тестировании на проникновение, анализе защищенности, разработке защищенных продуктов, а также расследуем инциденты кибербезопасности.
Высококвалифицированные специалисты SecWare возьмут на себя ответственность за безопасность Вашей компании.
Более 200 успешных проектов в год, среди которых сотрудничество с Raiffeisen Bank, Яндекс, РЖД, ДИТ Москвы, РОССЕТИ и другие.
SECWARE - делаем Ваш Digital мир безопасным!
Наша компания уже более 5 лет на рынке кибертехнологий обеспечивает безопасное нахождение в Сети для организаций в самых разных нишах.
Мы специализируемся на тестировании на проникновение, анализе защищенности, разработке защищенных продуктов, а также расследуем инциденты кибербезопасности.
Высококвалифицированные специалисты SecWare возьмут на себя ответственность за безопасность Вашей компании.
Более 200 успешных проектов в год, среди которых сотрудничество с Raiffeisen Bank, Яндекс, РЖД, ДИТ Москвы, РОССЕТИ и другие.
SECWARE - делаем Ваш Digital мир безопасным!
👍5🔥3
Системные администраторы забывают про простые правила ИБ
С несерьезным отношением к встроенным механизмам безопасности программных обеспечений связано достаточное количество случаев «взломов»организаций. Делимся списком самых популярных средств встроенной защиты, которые доступны в любых случаях!
Парольная защита. Первая граница доступа к информационным ресурсам. Устанавливайте свои грамотные правила по защите паролей.
Учетные записи. Средство, которое помогает четко распределять права доступа между работниками организации. Гостевые учетные записи необходимо убирать, а если такой технической возможности нет, то переименовать её и сменить пароль.
Группы доступа. Используйте группы доступа, это позволит объединить пользователей, которые должны иметь одинаковые права на информационные ресурсы.
Контрольные журналы. По возможности наладьте централизованный сбор журналов для последующего анализа на предмет нарушения правил безопасности организации.
Сохраняйте и передавайте коллегам!
С несерьезным отношением к встроенным механизмам безопасности программных обеспечений связано достаточное количество случаев «взломов»организаций. Делимся списком самых популярных средств встроенной защиты, которые доступны в любых случаях!
Парольная защита. Первая граница доступа к информационным ресурсам. Устанавливайте свои грамотные правила по защите паролей.
Учетные записи. Средство, которое помогает четко распределять права доступа между работниками организации. Гостевые учетные записи необходимо убирать, а если такой технической возможности нет, то переименовать её и сменить пароль.
Группы доступа. Используйте группы доступа, это позволит объединить пользователей, которые должны иметь одинаковые права на информационные ресурсы.
Контрольные журналы. По возможности наладьте централизованный сбор журналов для последующего анализа на предмет нарушения правил безопасности организации.
Сохраняйте и передавайте коллегам!
⚡3👍3🍾3
Чем занимаются ИБшники в свободное время? :)
Следят за интерактивными картами кибератак! Как один из вариантов…
Собрали подборку одних из самых интересных и залипательных карт в режиме реального времени!
«Узнай, где сейчас кипит кибервойна» - отечественный ресурс от лаборатории Касперского. Красочная визуализация и удобное перемещение по карте. “Залипать” на Землю можно очень долго.
«Orange Business Internet Security Threat Map» - яркая карта от Orange Business. Интересное пространство с разделениями по уровням риска.
«Threatbutt Internet Hacking Attack Attribution Map» - карта, напоминающая ретро-видеоигру, даже есть подобие онлайн-чата. А еще здесь стоит поберечь уши, мы предупреждали!
«DDoS Threat Intelligence Map» - ресурс для выявления DDoS-атак от A10. Красиво, реалистично, информативно.
«Norse Live Attack Map» - пространство от американской компании Norse, которая создала его для того, чтобы показать как весь мир атакуют их ханипоты.
Следят за интерактивными картами кибератак! Как один из вариантов…
Собрали подборку одних из самых интересных и залипательных карт в режиме реального времени!
«Узнай, где сейчас кипит кибервойна» - отечественный ресурс от лаборатории Касперского. Красочная визуализация и удобное перемещение по карте. “Залипать” на Землю можно очень долго.
«Orange Business Internet Security Threat Map» - яркая карта от Orange Business. Интересное пространство с разделениями по уровням риска.
«Threatbutt Internet Hacking Attack Attribution Map» - карта, напоминающая ретро-видеоигру, даже есть подобие онлайн-чата. А еще здесь стоит поберечь уши, мы предупреждали!
«DDoS Threat Intelligence Map» - ресурс для выявления DDoS-атак от A10. Красиво, реалистично, информативно.
«Norse Live Attack Map» - пространство от американской компании Norse, которая создала его для того, чтобы показать как весь мир атакуют их ханипоты.
⚡7🤣3
Ещё пара слов о стандартных правилах информационной безопасности для компаний.
Какие методы защиты, кроме встроенных программных средств можно эффективно использовать на местах?
Резервное копирование конфигурации и информации. Дает возможность восстановить работоспособность основных элементов ИТ - инфраструктуры организации при возникновении серьезных инцидентов, начиная с вирусной атаки и заканчивая затоплением помещений организации.
Ограничение доступа к портам USB. Доступ необходимо оставить только на тех компьютерах, где это необходимо для выполнения работником своих обязанностей. Или используйте USB с электронным ключом активации.
Своевременно устанавливайте обновления безопасности на ОС и программные комплексы.
Также не стоит забывать об организационных мероприятиях, которые связаны с техническим обеспечением ИБ:
Обучите работников действиям при определенных ситуациях, например, при получение фишинговых писем, или же при обычных сбоях системы.
Проводите регулярные тестирования системы безопасности.
Организуйте процесс реагирования на инциденты по ИБ - выстроенная иерархия поможет отследить все процессы.
Какие методы защиты, кроме встроенных программных средств можно эффективно использовать на местах?
Резервное копирование конфигурации и информации. Дает возможность восстановить работоспособность основных элементов ИТ - инфраструктуры организации при возникновении серьезных инцидентов, начиная с вирусной атаки и заканчивая затоплением помещений организации.
Ограничение доступа к портам USB. Доступ необходимо оставить только на тех компьютерах, где это необходимо для выполнения работником своих обязанностей. Или используйте USB с электронным ключом активации.
Своевременно устанавливайте обновления безопасности на ОС и программные комплексы.
Также не стоит забывать об организационных мероприятиях, которые связаны с техническим обеспечением ИБ:
Обучите работников действиям при определенных ситуациях, например, при получение фишинговых писем, или же при обычных сбоях системы.
Проводите регулярные тестирования системы безопасности.
Организуйте процесс реагирования на инциденты по ИБ - выстроенная иерархия поможет отследить все процессы.
⚡8👍3
Как менеджерам работать с отделом ИБ? Как ИБ-специалистам взаимодействовать с менеджерами?
Надежная защита компании вызывает доверие и позволяет вовлечь в бизнес новых сотрудников, клиентов и инвесторов. Чем выше уровень доверия, тем больший уровень доступа к информации можно предоставить внешним сторонам, что иногда просто необходимо. Главное, делать это безопасно.
В зависимости от компании роль отдела ИБ может меняться, но для того, чтобы подразделение смогло стать самостоятельной бизнес-единицей, необходимо его участие в любом проекте компании, даже если это этап консультирования.
Возможно и полное включение отдела ИБ в управление проектами. Если говорить о синтезе ИТ и ИБ, ИБ - важная составляющая любого «ИТ-проекта», при этом отдел ИБ, как правило не принимает участие в «не ИТ-проектах». Представитель отдела информационной безопасности должен быть включен в работу над «не ИТ-проектами», таким образом, наибольшее количество сотрудников будет вовлечено в процессы безопасности. Это поможет работникам из других отделов проще ориентироваться в своих компетенциях, например, ответить на вопросы «Как сделать так, чтобы о рекламной акции никто не узнал раньше времени?», «Как безопасно запрашивать данные клиентов?» и т.д.
Почему специалистам ИБ зачастую важно участвовать в разработке стратегии развития компании? Стратегия безопасности должна быть целиком построена на задачах бизнес-стратегии компании. Когда безопасность ориентирована на бизнес, проблема инвестиций в безопасность решается сама собой. Иногда целесообразно в первую очередь заняться задачами бизнеса, во вторую - обратить внимание на типовые и специфические угрозы ИБ.
Включение отдела ИБ в бизнес-планирование - всегда отличное решение: и информационная гигиена, и повышение культуры информационной безопасности, и включение отдела в бизнес-генерирование.
Надежная защита компании вызывает доверие и позволяет вовлечь в бизнес новых сотрудников, клиентов и инвесторов. Чем выше уровень доверия, тем больший уровень доступа к информации можно предоставить внешним сторонам, что иногда просто необходимо. Главное, делать это безопасно.
В зависимости от компании роль отдела ИБ может меняться, но для того, чтобы подразделение смогло стать самостоятельной бизнес-единицей, необходимо его участие в любом проекте компании, даже если это этап консультирования.
Возможно и полное включение отдела ИБ в управление проектами. Если говорить о синтезе ИТ и ИБ, ИБ - важная составляющая любого «ИТ-проекта», при этом отдел ИБ, как правило не принимает участие в «не ИТ-проектах». Представитель отдела информационной безопасности должен быть включен в работу над «не ИТ-проектами», таким образом, наибольшее количество сотрудников будет вовлечено в процессы безопасности. Это поможет работникам из других отделов проще ориентироваться в своих компетенциях, например, ответить на вопросы «Как сделать так, чтобы о рекламной акции никто не узнал раньше времени?», «Как безопасно запрашивать данные клиентов?» и т.д.
Почему специалистам ИБ зачастую важно участвовать в разработке стратегии развития компании? Стратегия безопасности должна быть целиком построена на задачах бизнес-стратегии компании. Когда безопасность ориентирована на бизнес, проблема инвестиций в безопасность решается сама собой. Иногда целесообразно в первую очередь заняться задачами бизнеса, во вторую - обратить внимание на типовые и специфические угрозы ИБ.
Включение отдела ИБ в бизнес-планирование - всегда отличное решение: и информационная гигиена, и повышение культуры информационной безопасности, и включение отдела в бизнес-генерирование.
👍5
ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПДн.
С 1 марта 2023 года в Федеральном законе №152-ФЗ (далее - закон о ПДн) вступило в силу множество изменений. Рассказываем простым языком, учитывая все нюансы.
О первом нововведении, которое касается Второго Приказа Роскомнадзора от 05.08.2022 №128 «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн», в соответствии с ч. 2 ст. 12 ФЗ-152 Роскомнадзор утвердил новый перечень этих государств, как и раньше - это участники Конвенции Совета Европы, а также те, что соответствую нормам и правам, применяемым по защите ПДн. В список добавлены КНР и Индия, всего - 89 стран.
С 1 марта 2023 года в Федеральном законе №152-ФЗ (далее - закон о ПДн) вступило в силу множество изменений. Рассказываем простым языком, учитывая все нюансы.
О первом нововведении, которое касается Второго Приказа Роскомнадзора от 05.08.2022 №128 «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн», в соответствии с ч. 2 ст. 12 ФЗ-152 Роскомнадзор утвердил новый перечень этих государств, как и раньше - это участники Конвенции Совета Европы, а также те, что соответствую нормам и правам, применяемым по защите ПДн. В список добавлены КНР и Индия, всего - 89 стран.
👍8🍾2
Информация для операторов по обработке ПДн: до начала деятельности по трансграничной передаче Вы обязаны уведомить Роскомнадзор о своем намерении и получить разрешение. Создается отдельное от Уведомления о намерении осуществлять обработку ПДн.
Напомним, что с 1 сентября 2022 года есть только три случая, в которых Уведомление об обработке ПДн разрешается не отправлять (необходимость - почти во всех случаях). Роскомнадзор же, в свою очередь, может запретить или ограничить передачу данных в другие страны.
О других нововведениях - в следующих постах.
Напомним, что с 1 сентября 2022 года есть только три случая, в которых Уведомление об обработке ПДн разрешается не отправлять (необходимость - почти во всех случаях). Роскомнадзор же, в свою очередь, может запретить или ограничить передачу данных в другие страны.
О других нововведениях - в следующих постах.
👍8⚡2
ИЗМЕНЕНИЯ В ПОЛИТИКЕ ОБРАБОТКИ ДАННЫХ ПДн
Продолжаем тему нововведений в законе о ПДн. Сегодня о новом порядке определения вреда, который может быть причинен субъектам ПДн в случае нарушения ФЗ о ПДн.
Теперь в соответствии с п. 5 ч. 1 ст. 18.1 ФЗ-152 Операторы обязаны проводить оценку вреда в соответствии с установленными уполномоченным органом требованиями. Приказ определяет случаи обработки ПДн, обладающих признаками высокого, среднего, низкого риска нарушения прав:
1. Высокая;
2. Средняя:
3. Низкая.
Продолжаем тему нововведений в законе о ПДн. Сегодня о новом порядке определения вреда, который может быть причинен субъектам ПДн в случае нарушения ФЗ о ПДн.
Теперь в соответствии с п. 5 ч. 1 ст. 18.1 ФЗ-152 Операторы обязаны проводить оценку вреда в соответствии с установленными уполномоченным органом требованиями. Приказ определяет случаи обработки ПДн, обладающих признаками высокого, среднего, низкого риска нарушения прав:
1. Высокая;
2. Средняя:
3. Низкая.
👍4