Б-152: защита персональных данных

На аудитах по ИБ мы все чаще видим ситуацию: компания уверена, что ее системы под контролем, но фактически ключи от инфраструктуры находятся у подрядчика. Разберем кейс. У компании есть несколько ИСПДн, одна из них — основная самописная система для клиентов и партнеров. Для нее был определен 2 уровень защищенности. При сборе исходных данных выяснилось: система полностью находится под управлением подрядчика, от серверной инфраструктуры до доступов. Подрядчик уверял, что все безопасно и дополнительные средства защиты не нужны: система размещена в ЦОДе, значит, ее защищают средства ЦОДа...

У многих B2B-продуктов есть особенность: самые сложные риски находятся не внутри системы, а на ее стыках с другими участниками рынка. Банк, застройщик, партнерская платформа, сервис ЭДО. Данные между ними передаются автоматически, процессы хорошо отлажены и клиенты довольны. Кажется, что все работает именно так, как задумано. Но в какой-то момент возникает неудобный вопрос: а кто в этой цепочке вообще является оператором? И совпадает ли юридическая модель с тем, что реально происходит в архитектуре...

Какие доказательства по ИБ нужны, чтобы вас вообще допустили дальше❔ Представим типовую ситуацию: Вы — компания-интегратор, участвуете в тендере, заполняете анкету, подаете заявку по всем требованиям, а в ответ получаете отказ из-за несоответствия по ИБ. Для заказчика это очень важно, ведь риски слишком высоки: утечка данных через подрядчика, влияние на штатную работу систем, юридические последствия. Поэтому в тендере оценивают не только решение, но и то, можно ли вам доверить работу с чувствительным контуром...

Продолжаем рубрику, где разбираем реальные вопросы подписчиков по privacy и ИБ! Обычно берем один кейс, но в этот раз разберем сразу два: похожие ситуации недавно встречались и в нашей практике, а ответ можно дать достаточно емко. Если хотите, чтобы эксперты Б-152 разобрали вашу ситуацию, оставляйте вопрос в нашей постоянной Яндекс.Форме. Кейс №1: Получили предписание РКН по присутствию у нас на сайте Google Analytics хотя ее там давно нет Разбор эксперта Б-152: Рекомендуем проверить все страницы...

ИБ-требования в тендере часто выглядят довольно компактно: несколько строк в ТЗ, список документов, сертификаты, процессы разработки, инфраструктура. На бумаге кажется, что все под контролем. Но когда команда начинает готовить ответ, выясняется: за каждой строкой стоит отдельный пласт работы, который не всегда можно быстро собрать перед подачей. Где чаще всего возникает разрыв? 👉 Сертификация Сертификат может быть, но не покрывать нужный продукт, версию или срок контракта. Формально документ есть, но для конкретного тендера он не работает...

ИБ редко становится проблемой внезапно. Чаще все начинается раньше: защиту не заложили на старте проекта или руководство подключилось только после рисков... Мы запускаем цикл коротких опросов, как мини-проверку зрелости ИБ в компании. ❗️Каждый вопрос поможет посмотреть на один участок процесса и понять: вы управляете защитой заранее или закрываете риски уже после того, как они проявились? Вопросы для вас подготовил наш эксперт — Егор Андюков, старший специалист по информационной безопасности Б-152...

Обработка биометрических данных несовершеннолетних не тот случай, где можно ограничиться типовой формой согласия. Риск в том, что 152-ФЗ не закрепляет прямого порядка для обработки биометрии детей. Закон отдельно говорит о недееспособных лицах, но не раскрывает, как действовать с малолетними лицами от 6 до 14 лет и несовершеннолетними от 14 до 18 лет. Особенно спорным становится вопрос: кто вправе дать согласие на обработку биометрических ПДн ребенка? Суды в отдельных делах допускали обработку биометрических данных несовершеннолетних с согласия законного представителя...

Когда юрист, комплаенс или HRD ведет персональные данные «по совместительству», внешний DPO выглядит как понятное решение: он поможет с аудитом, документами, проверками, процессами и спорными вопросами по 152-ФЗ. Но есть нюанс, который легко потерять в договоре... Внешний DPO обычно не становится оператором персональных данных. Оператором остается компания. А внешний специалист получает статус лица, которое обрабатывает данные по поручению оператора. Это значит, что если DPO получает доступ к данным...

Вопрос с зарубежными VPN для бизнеса больше нельзя сводить к технической настройке туннеля. В публикации Роскомнадзора для владельцев российских частных виртуальных сетей есть важная для компаний позиция: при технической необходимости использования таких соединений нужно направлять заявление в ЦМУ ССОП с обоснованием и IP-адресами, которые требуется внести в список исключений. Для корпоративной практики это касается не только редких случаев доступа к зарубежным ресурсам. Под формулировку «использование...

ЧТО ДЕЛАТЬ❔ Сегодня хотим разобрать одну из самых острых проблем в компаниях: когда выделенной функции ИБ нет, а ИТ-подразделение закрывает вопросы безопасности параллельно с основной операционной нагрузкой. На практике это выглядит знакомо: задачи по защите не игнорируются, но и не становятся отдельным управляемым направлением. Их решают по мере возможности: между внедрениями, поддержкой пользователей, сбоями и срочными запросами бизнеса. Именно в такой модели риски начинают накапливаться быстрее, чем это видно руководству...

Что происходит, когда ИБ держится на "героях"? В компаниях малого и среднего бизнеса информационная безопасность часто держится на одном-двух специалистах. Пока они на месте, система кажется устойчивой. Но как только один человек уходит в отпуск или становится недоступен, выясняется, что защита держалась не на процессе, а на конкретном человеке. Именно поэтому модель «безопасность на героях» — это критическая единая точка отказа. Один из самых показательных примеров — инцидент 2018 года в Сингапуре...

С биометрическими персональными данными ошибка чаще всего возникает не в определении термина, а в оценке конкретной ситуации. Напомним критерий. Данные будут биометрическими, если они одновременно: ⚫️ характеризуют физиологические и биологические особенности человека, ⚫️ позволяют установить личность, ⚫️ используются оператором именно для установления личности субъекта. К биометрическим персональным данным в этих примерах относятся: ➡️отпечатки пальцев в СКУД для пропускного режима ➡️запись голоса...