Б-152: защита персональных данных

🔑 Выстроили контроль подрядчиков и доступов без CISO Какие механики реально держатся в крупной компании? В крупной компании отсутствие отдельной позиции CISO само по себе не является главной проблемой. Проблема начинается там, где подрядчики получают доступы по переписке, контроль прав никто не проводит, а ответственность размазана между ИТ и ИБ. Формально функция есть, управляемости нет. Практический риск понятен: доступы живут дольше, чем работы; права выдаются шире, чем нужно; а в момент инцидента становится неясно, кто именно что согласовал, кто подключался и кто должен был это закрыть...

ПРОФИЛАКТИКА ВМЕСТО ШТРАФОВ –– Запись вебинара и полезные файлы Всем привет! Во вторник мы провели отличный вебинар, где Максим Лагутин вместе с Екатериной Ефимовой - руководителем направления ПДн в ГРЧЦ, совместно разобрали, • как изменился подход Роскомнадзора к контролю и надзору в области персональных данных, • что выявляет автоматизированная система мониторинга 78 тыс. сайтов, • как готовиться к профилактическим визитам, •...

Что действительно требует закон? Требование о локализации закреплено в ч. 5 ст. 18 Закона № 152-ФЗ. Оно означает, что при сборе персональных данных граждан Российской Федерации базовые операции обработки должны осуществляться через базы данных, находящиеся в России. Ключевое здесь именно сбор. Минцифры РФ определяет его как целенаправленный процесс получения персональных данных оператором непосредственно от субъекта либо через специально привлеченных для этого третьих лиц. При этом локализация не означает абсолютный запрет на использование иностранной инфраструктуры...

Звучит как скучная формальность, пока не выяснится, что именно от него зависит все: ⚫️какие меры защиты применять, ⚫️какие документы готовить и ⚫️чего ждать от проверок. Ошибка на этом шаге как кривой фундамент: потом рушится вся система защиты данных. Закон не предлагает простых решений. Нужно разобраться, какие категории данных обрабатываете, кто ваши субъекты (сотрудники или клиенты), сколько их, и какие угрозы актуальны. От этого...

Вы точно помните, что в начале месяца мы предлагали вам выбрать тему, которую разберем подробнее в конце. По итогам опроса победил вопрос про инвентаризацию систем и данных 🤩 Разбираем. Когда к инвентаризации возвращаются спустя некоторое время, почти всегда повторяется одна и та же ошибка: начинают с перечня серверов, программ и оборудования. В результате получается список активов, но не появляется понимание, где именно в компании обрабатываются персональные данные, кто к ним допущен, чем это...

Проверка регулятора или требование контрагента о прохождении аудита информационной безопасности давно перестали быть формальностью. Сегодня это комплексная оценка зрелости компании, ее способности защищать свои и клиентские данные. «Диалог с регуляторами» на SOC Forum 2025 осветил статистику результатов государственного контроля, в ходе которого было выявлено более 1,1 тыс. нарушений в сфере информационной безопасности. Объектам КИИ по итогам проверок было направлено свыше 2 тыс. требований для соответствия законодательству в области объектов КИИ...

Почему отклоняют сильные технические решения? В сегменте крупного бизнеса и государственных заказов победа в тендере зависит не только от архитектуры продукта. Часто решающим фактором становится соответствие формальным критериям и «прозрачность» компании. Даже если ваша команда обладает уникальной квалификацией, а продукт превосходит аналоги, ошибки в юридической подготовке или отсутствие профильного опыта могут привести к дисквалификации на старте. Для заказчика тендер — не только сравнение решений, но и проверка устойчивости внутренних процессов поставщика...

Проверка регулятора или аудит со стороны контрагента давно перестали быть формальностью. Сейчас смотрят не на наличие папки с документами, а на то, насколько компания реально управляет информационной безопасностью. Именно здесь средний бизнес чаще всего проваливается, т.к. нет выделенной ИБ-функции, документы не связаны с практикой, а критичные пробелы всплывают уже в момент проверки. Наши эксперты собрали 12 доказательств ИБ, которые чаще всего...

Что осталось после конференции Наш эксперт Вероника Нуждина съездила на Cloud Security Day 2026 от Yandex Cloud. Если совсем коротко, говорили не о красивом будущем, а про вполне приземленные проблемы, с которыми компании уже живут. 1️⃣ Первое: гибридная инфраструктура больше не переходный этап. Для многих связка on-prem и облака уже стала обычной моделью. И именно на этом стыке сейчас накапливается много рисков. Там, где заканчивается зона ответственности провайдера и начинается зона клиента, чаще всего и появляются ошибки, которыми потом пользуются злоумышленники...

Обновился рейтинг Коммерсанта по юридическому рынку. Компания Б-152 вошла в федеральный рейтинг лучших юридических практик по направлению «Защита персональных данных» Band 1 🔥 Отдельно в федеральном индивидуальном рейтинге по этой же категории отмечены: ⭐️ Руководитель направления по защите персональных данных Никита Володин и ⭐️ Основатель Б-152, соучредитель ПРОПД и научный руководитель магистратуры LegalTech в НИУ ВШЭ Максим Лагутин И оба тоже Band 1! В таких рейтингах важен не сам факт присутствия в списке...

Когда в компании начинается инцидент, в первую очередь все думают про технику: отключить доступы, проверить логи и локализовать проблему. Но именно в этот момент многие проваливают вторую часть кризиса — коммуникации. Пока ИТ и ИБ разбираются, внутри компании уже растут слухи, сотрудники пересылают друг другу обрывки информации, партнеры нервничают, а внешние запросы начинают сыпаться раньше, чем появляется полная картина. Молчание здесь работает против вас. Проблема в том, что у большинства компаний...

ФСТЭК России 12.04.2026 года утвердила методический документ: Cостав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах • Документ регламентирует состав и содержание мероприятий по защите информации в государственных системах, АСУ ТП, сетях госорганов и на объектах КИИ. • Моделирование угроз безопасности ПДн теперь должно быть непрерывным процессом с обязательным учетом рисков цепочек поставок, обновлений ПО и зарубежного оборудования, а также тактик злоумышленников...