Б-152: защита персональных данных

Вопрос с зарубежными VPN для бизнеса больше нельзя сводить к технической настройке туннеля. В публикации Роскомнадзора для владельцев российских частных виртуальных сетей есть важная для компаний позиция: при технической необходимости использования таких соединений нужно направлять заявление в ЦМУ ССОП с обоснованием и IP-адресами, которые требуется внести в список исключений. Для корпоративной практики это касается не только редких случаев доступа к зарубежным ресурсам. Под формулировку «использование...

ЧТО ДЕЛАТЬ❔ Сегодня хотим разобрать одну из самых острых проблем в компаниях: когда выделенной функции ИБ нет, а ИТ-подразделение закрывает вопросы безопасности параллельно с основной операционной нагрузкой. На практике это выглядит знакомо: задачи по защите не игнорируются, но и не становятся отдельным управляемым направлением. Их решают по мере возможности: между внедрениями, поддержкой пользователей, сбоями и срочными запросами бизнеса. Именно в такой модели риски начинают накапливаться быстрее, чем это видно руководству...

Что происходит, когда ИБ держится на "героях"? В компаниях малого и среднего бизнеса информационная безопасность часто держится на одном-двух специалистах. Пока они на месте, система кажется устойчивой. Но как только один человек уходит в отпуск или становится недоступен, выясняется, что защита держалась не на процессе, а на конкретном человеке. Именно поэтому модель «безопасность на героях» — это критическая единая точка отказа. Один из самых показательных примеров — инцидент 2018 года в Сингапуре...

С биометрическими персональными данными ошибка чаще всего возникает не в определении термина, а в оценке конкретной ситуации. Напомним критерий. Данные будут биометрическими, если они одновременно: ⚫️ характеризуют физиологические и биологические особенности человека, ⚫️ позволяют установить личность, ⚫️ используются оператором именно для установления личности субъекта. К биометрическим персональным данным в этих примерах относятся: ➡️отпечатки пальцев в СКУД для пропускного режима ➡️запись голоса...

... просто потому, что ИБ-артефакты не собраны заранее ✖️ Участие в тендерах — сложная задача, требующая готовности к запросу документов (которые стоит подготовить заранее) и квалификации сотрудников. ⏫ В карточках ниже наши эксперты собрали короткий чек-лист: что стоит подготовить до подачи заявки, если ваш софт идет в тендер и заказчик смотрит не только на функциональность, но и на зрелость по ИБ и ПДн...

На примере ООО «Джи Эл Эс Фармасьютикалз» хорошо видно, как в FMCG-сфере риски по 152-ФЗ могут накапливаться даже без громких инцидентов: 🔹кадровые процессы, 🔹взаимодействие с потребителями и контрагентами, 🔹документооборот, 🔹внутренние сервисы — все это ежедневно затрагивает персональные данные. Компания обратилась к нам за аудитом на предмет соответствия требованиям 152-ФЗ. В проекте использовалась классическая логика: интервью, анализ документов, сопоставление фактических процессов с требованиями законодательства и подготовка организационно-распорядительной документации...

Что важно для маркетинговой аналитики🔗 Маркетинговая аналитика обычно строится на сборе данных, которые позволяют выделить уникального посетителя сайта, связать его поведение с конкретной сессией или устройством. Такие действия являются обработкой персональных данных. 💬 Трансграничная передача возникает тогда, когда данные пользователей сайта или приложения становятся доступны иностранному поставщику аналитического, рекламного или медиасервиса и передаются на территорию зарубежного государства...

Компании-операторы почти всегда работают с подрядчиками. Но такие третьи лица могут быть либо обработчиками, либо самостоятельными операторами. Разграничение зависит не от названия стороны в договоре и не от технической роли исполнителя, а от того, кто определяет цель обработки, объем и категории ПДн, допустимые операции, срок хранения, порядок удаления, условия доступа и общие правила использования данных. Если подрядчик действует в рамках ваших целей обработки ПДн, с ним необходимо заключить поручение на обработку ПДн — ч...

Пентест часто откладывают до более подходящего момента: после релиза, после миграции, после найма ИБ-специалиста, после закрытия срочных задач. Проблема в том, что атакующий не ждет стабилизации процессов. Он работает с тем, что уже выведено наружу, забыто, неправильно настроено или временно оставлено. 🤒 Первый тревожный признак — публичные сервисы растут быстрее, чем их учет У компании появляются новые домены, тестовые стенды, VPN-шлюзы, панели администрирования, API, личные кабинеты, интеграции с подрядчиками...

Вживую, не в пересказе 📚 Есть такие книги, которые действительно объясняют что имел в виду законодатель, регулятор и почему одна фраза в 152-ФЗ потом превращается в отдельный пласт практики. Иногда закон можно трактовать очень по-разному, т.к. практика слишком неоднородна. Поэтому особенно ценно, когда эксперты помогают разобраться и переводят сложные законодательные инициативы на понятный человеческий язык. 28 мая компания Б-152 проводит офлайн-встречу с Александром Савельевым, автором научно-практического постатейного комментария к Федеральному закону «О персональных данных»...

Доступы, подрядчики, облака или документы❔ Во многих компаниях информационная безопасность выглядит собранной ровно до того момента, пока ее не начинают проверять по конкретным вопросам. Документы есть, но они описывают не текущую практику, а версию компании для проверки. Доступы вроде выдаются по заявкам, но никто быстро не покажет, у кого сейчас есть права администратора и зачем. Подрядчики проходят через договор, но после старта работ их доступы живут отдельно от контроля. Облачные сервисы используются...

Вчера на вебинаре мы говорили про биометрию и узнали, что Face ID вроде как биометрия, но не попадает под биометрию законодательную 🤔 А вот и записи вебинара: ⚫️на Rutube ⚫️на VK Про биометрию на семинаре и лекции по чувствительной обработке данных подробно...