Б-152: защита персональных данных

Обработка биометрических данных несовершеннолетних не тот случай, где можно ограничиться типовой формой согласия. Риск в том, что 152-ФЗ не закрепляет прямого порядка для обработки биометрии детей. Закон отдельно говорит о недееспособных лицах, но не раскрывает, как действовать с малолетними лицами от 6 до 14 лет и несовершеннолетними от 14 до 18 лет. Особенно спорным становится вопрос: кто вправе дать согласие на обработку биометрических ПДн ребенка? Суды в отдельных делах допускали обработку биометрических данных несовершеннолетних с согласия законного представителя...

Когда юрист, комплаенс или HRD ведет персональные данные «по совместительству», внешний DPO выглядит как понятное решение: он поможет с аудитом, документами, проверками, процессами и спорными вопросами по 152-ФЗ. Но есть нюанс, который легко потерять в договоре... Внешний DPO обычно не становится оператором персональных данных. Оператором остается компания. А внешний специалист получает статус лица, которое обрабатывает данные по поручению оператора. Это значит, что если DPO получает доступ к данным...

Вопрос с зарубежными VPN для бизнеса больше нельзя сводить к технической настройке туннеля. В публикации Роскомнадзора для владельцев российских частных виртуальных сетей есть важная для компаний позиция: при технической необходимости использования таких соединений нужно направлять заявление в ЦМУ ССОП с обоснованием и IP-адресами, которые требуется внести в список исключений. Для корпоративной практики это касается не только редких случаев доступа к зарубежным ресурсам. Под формулировку «использование...

ЧТО ДЕЛАТЬ❔ Сегодня хотим разобрать одну из самых острых проблем в компаниях: когда выделенной функции ИБ нет, а ИТ-подразделение закрывает вопросы безопасности параллельно с основной операционной нагрузкой. На практике это выглядит знакомо: задачи по защите не игнорируются, но и не становятся отдельным управляемым направлением. Их решают по мере возможности: между внедрениями, поддержкой пользователей, сбоями и срочными запросами бизнеса. Именно в такой модели риски начинают накапливаться быстрее, чем это видно руководству...

Что происходит, когда ИБ держится на "героях"? В компаниях малого и среднего бизнеса информационная безопасность часто держится на одном-двух специалистах. Пока они на месте, система кажется устойчивой. Но как только один человек уходит в отпуск или становится недоступен, выясняется, что защита держалась не на процессе, а на конкретном человеке. Именно поэтому модель «безопасность на героях» — это критическая единая точка отказа. Один из самых показательных примеров — инцидент 2018 года в Сингапуре...