Б-152: защита персональных данных

Рабочая неделя закончилась, а значит, можно немного выдохнуть и спокойно посмотреть, что нового появилось на рынке в нашей сфере. Собрали для вас свежие вакансии от разных компаний: 🔃 Специалист по работе с персональными данными в Интерлизинг 🔃 Главный специалист Отдела организации обработки персональных данных в АО Страховая Компания РСХБ-Страхование 🔃 Начальник отдела защиты персональных и конфиденциальных данных в ФГБОУ ВО Санкт-Петербургский государственный университет 🔃 Начальник отдела организации обработки персональных данных в АО Конструкторское бюро приборостроения им...

Компании-операторы почти всегда работают с подрядчиками. Но такие третьи лица могут быть либо обработчиками, либо самостоятельными операторами. Разграничение зависит не от названия стороны в договоре и не от технической роли исполнителя, а от того, кто определяет цель обработки, объем и категории ПДн, допустимые операции, срок хранения, порядок удаления, условия доступа и общие правила использования данных. Если подрядчик действует в рамках ваших целей обработки ПДн, с ним необходимо заключить поручение на обработку ПДн — ч...

? Да и по работе, скорее всего, тоже пробовали использовать популярные LLM 👉 Много наших клиентов и коллег столкнулись и продолжают сталкиваться с большим количеством вопросов и проблем, связанных с передачей ПДн в зарубежные сервисы (ChatGPT, Claude, DeepSeek и др), правовыми основаниями для обработки ПДн для обучения внутренней нейронки и, конечно, с проблемами безопасности. Уже во вторник, 19 мая, в 12:00 по МСК мы проведем вебинар...

Пентест часто откладывают до более подходящего момента: после релиза, после миграции, после найма ИБ-специалиста, после закрытия срочных задач. Проблема в том, что атакующий не ждет стабилизации процессов. Он работает с тем, что уже выведено наружу, забыто, неправильно настроено или временно оставлено. 🤒 Первый тревожный признак — публичные сервисы растут быстрее, чем их учет У компании появляются новые домены, тестовые стенды, VPN-шлюзы, панели администрирования, API, личные кабинеты, интеграции с подрядчиками...

Вживую, не в пересказе 📚 Есть такие книги, которые действительно объясняют что имел в виду законодатель, регулятор и почему одна фраза в 152-ФЗ потом превращается в отдельный пласт практики. Иногда закон можно трактовать очень по-разному, т.к. практика слишком неоднородна. Поэтому особенно ценно, когда эксперты помогают разобраться и переводят сложные законодательные инициативы на понятный человеческий язык. 28 мая компания Б-152 проводит офлайн-встречу с Александром Савельевым, автором научно-практического постатейного комментария к Федеральному закону «О персональных данных»...

Доступы, подрядчики, облака или документы❔ Во многих компаниях информационная безопасность выглядит собранной ровно до того момента, пока ее не начинают проверять по конкретным вопросам. Документы есть, но они описывают не текущую практику, а версию компании для проверки. Доступы вроде выдаются по заявкам, но никто быстро не покажет, у кого сейчас есть права администратора и зачем. Подрядчики проходят через договор, но после старта работ их доступы живут отдельно от контроля. Облачные сервисы используются...

Вчера на вебинаре мы говорили про биометрию и узнали, что Face ID вроде как биометрия, но не попадает под биометрию законодательную 🤔 А вот и записи вебинара: ⚫️на Rutube ⚫️на VK Про биометрию на семинаре и лекции по чувствительной обработке данных подробно...

В 15 лет Паскаль написал трактат о конических сечениях, Брайль придумал шрифт для слепых, Фишер стал гроссмейстером, а Моцарт написал первую оперу. Мы в свои 15 — защищаем персональные данные, провели более 1.5 тысяч проектов и нисколько не разочарованы. У каждого свой путь 😉 За 15 лет из 100 компаний выживают 15. Мы же выросли от маленького стартапа до одного из лидеров рынка. К нам прислушиваются регуляторы. Нас уважают конкуренты. Нам доверяют клиенты. Но главное за эти 15 лет — люди 🩵 Те, кто когда-то поверил в Б-152, и верит сейчас...

Какие они бывают и на каких основаниях? Профилактический визит часто воспринимают как мягкий формат контакта с регулятором. Но РКН в его рамках смотрит не только на документы, а на реальное состояние процессов и практики обработки персональных данных. Профилактический визит – это мероприятие, основная цель которого предотвратить риск нарушения обязательных требований и потенциального ущерба. Иными словами, проверка без негативных последствий (иногда). Такие профилактические визиты бывают двух...

Админки раздали, а отозвать забыли... КАК ЭТО ПРЕВРАЩАЕТСЯ В ИНЦИДЕНТ 🚨 Такие истории почти всегда начинаются более менее спокойно: сотруднику выдали расширенные права на время, подрядчику открыли доступ к админке для настройки, разработчику дали роль администратора, чтобы быстрее исправить проблему. Работу сделали, а доступ остался. Через месяц уже никто не помнит, зачем он был нужен. Проблема не в самой выдаче админских прав, а в том, что у компании нет управляемого жизненного цикла доступа:...

Если у вас есть рабочий кейс по персональным данным, информационной безопасности или digital compliance, в котором все упирается в нюанс, присылайте его нам через постоянную Яндекс.Форму 👉 Это может быть вопрос про согласие, сроки хранения, подрядчиков, трансграничную передачу, кадровые процессы, документы, доступы или спорную ситуацию, где на практике все выглядит не так однозначно, как в законе. Мы будем выбирать кейсы для публичного разбора аккуратно, предметно и анонимно: без названий компаний, имен и лишних деталей...

Если у вас есть рабочий кейс по персональным данным, информационной безопасности или digital compliance, в котором все упирается в нюанс, присылайте его нам через постоянную Яндекс.Форму 👉 Это может быть вопрос про согласие, сроки хранения, подрядчиков, трансграничную передачу, кадровые процессы, документы, доступы или спорную ситуацию, где на практике все выглядит не так однозначно, как в законе. Мы будем выбирать кейсы для публичного разбора аккуратно, предметно и анонимно: без названий компаний, имен и лишних деталей...