Б-152: защита персональных данных

✖️ Когда юрист, комплаенс или HRD ведет персональные данные «по совместительству», внешний DPO выглядит как понятное решение: он поможет с аудитом, документами, проверками, процессами и спорными вопросами по 152-ФЗ. Но есть нюанс, который легко потерять в договоре... Внешний DPO обычно не становится оператором персональных данных. Оператором остается компания. А внешний специалист получает статус лица, которое обрабатывает данные по поручению оператора. Это значит, что если DPO получает доступ...

Киберпреступления хотят приравнять к терроризму, хакеры все чаще не крадут данные, а просто стирают их, а вредоносные письма уже приходят под видом уведомлений о нарушении закона о персональных данных. На этом фоне и другие новости звучат не слабее: Минюст предлагает передавать данные о психрасстройствах освобожденных заключенных, в сеть попадают миллионы банковских карт, а одна забытая учетная запись, как показал свежий кейс, может открыть путь к критической инфраструктуре целого города. Повестка уже не про частные инциденты, а про системный сдвиг в уровне риска. То есть, давление растет сразу с двух сторон...

Вопрос с зарубежными VPN для бизнеса больше нельзя сводить к технической настройке туннеля. В публикации Роскомнадзора для владельцев российских частных виртуальных сетей есть важная для компаний позиция: при технической необходимости использования таких соединений нужно направлять заявление в ЦМУ ССОП с обоснованием и IP-адресами, которые требуется внести в список исключений. Для корпоративной практики это касается не только редких случаев доступа к зарубежным ресурсам. Под формулировку «использование...

ЧТО ДЕЛАТЬ❔ Сегодня хотим разобрать одну из самых острых проблем в компаниях: когда выделенной функции ИБ нет, а ИТ-подразделение закрывает вопросы безопасности параллельно с основной операционной нагрузкой. На практике это выглядит знакомо: задачи по защите не игнорируются, но и не становятся отдельным управляемым направлением. Их решают по мере возможности: между внедрениями, поддержкой пользователей, сбоями и срочными запросами бизнеса. Именно в такой модели риски начинают накапливаться быстрее, чем это видно руководству...

Что происходит, когда ИБ держится на "героях"? В компаниях малого и среднего бизнеса информационная безопасность часто держится на одном-двух специалистах. Пока они на месте, система кажется устойчивой. Но как только один человек уходит в отпуск или становится недоступен, выясняется, что защита держалась не на процессе, а на конкретном человеке. Именно поэтому модель «безопасность на героях» — это критическая единая точка отказа. Один из самых показательных примеров — инцидент 2018 года в Сингапуре...