КОМПЛАЕНС

2 мая утверждена МЕТОДИКА ОЦЕНКИ ПОКАЗАТЕЛЯ СОСТОЯНИЯ ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ И ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ЗНАЧИМЫХ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУР РОССИЙСКОЙ ФЕДЕРАЦИИ https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-2-maya-2024-g

🧐 Что важно учесть при составлении карты потоков данных? ▪️ Инициаторов обработки. Необходимо верно определить роль компании в обработке: (со)контролер / процессор. ▪️ Категории персональных данных. Нужно определить тип данных, поскольку эта информация требуется для создания политики приватности и определения применимых законов и стандартов. Например, для специальных категорий данных с точки зрения GDPR, а также данных, которые защищаются отраслевыми законами, может потребоваться дополнительная защита. ▪️ Источники данных. Эта информация требуется для политики приватности и помогает DPO понять, на каком этапе необходимо внедрить защитные меры, а также определить процессоров и (со)контролеров. Источниками данных могут быть субъекты данных, базы данных, приложения, подрядчики. ▪️ Владельцы процесса. Для эффективного управления защитой персональных данных нужно назначить ответственных за каждый актив данных. ▪️ Использование данных. Важно описать, как и с какой целью данные используются в организации. ▪️ Хранение данных. Нужно определить, в какой системе хранятся данные, могут ли они использоваться для других целей, принадлежит ли система хранения компании или используется внешнее решение, в какой стране находится владелец системы хранения, откуда осуществляется доступ к данным и кто в компании имеет к ним доступ. ▪️ Передача данных. Происходит ли передача данных в другие страны, какой защитный механизм используется. ▪️ Удаление данных. Нужно учесть как долго они хранятся, соответствует ли это политикам компании, каким образом данные удаляются. ▪️ Оценка рисков. Анализ результатов инвентаризации данных позволяет выявить потенциальные риски и пробелы в соблюдении требований, а также определить возможности для улучшения. Реестр обработок или карта данных дает полную и наглядную картину, поскольку с их помощью можно подобрать меры по каждой обработке. ▪️ Применимые законы. Полезно составить список применимых законов и нормативных актов. 📌 Важно помнить, что маппинг и инвентаризация данных — это не одноразовые мероприятия. Они требуют постоянного обновления, чтобы отражать изменения в системах данных, процессах и нормативных документах. Автор: Анастасия Вербанович, CIPP/E, GDPR DPP #opinion

🧐 Как проводить инвентаризацию персональных данных? С ростом объема данных в компании возрастают и риски для приватности. В таких условиях защита персональных данных приобретает первостепенное значение, что обусловливает необходимость разработки надежных стратегий и инструментов. Среди них важнымикомпонентами являются мероприятия по маппингу данных (data mapping, инвентаризация данных). Как узнать, где находятся персональные данные, как они используются в организации и почему они важны? Ответы на эти вопросы можно получить в ходе проведения сессий по маппингу данных. 📃 Инвентаризация персональных данных — это процесс отслеживания данных от их источника до целей использования. Он включает в себя определение того, какие данные используются, где они находятся физически, в каких системах хранятся, как используются в компании и какие лица имеют к ним доступ. Такой обзор важен по нескольким причинам: 🔹 Соответствие нормативным требованиям. Маппинг данных помогает понять, какие данные собираются, где они хранятся и как обрабатываются. Это позволяет выработать удобную дорожную карту для соблюдения регуляторных требований. Информация, полученная в результате составления карты данных, будет полезной для соблюдения статьи 30 GDPR при заполнении реестра обработок. 🔹 Управление рисками. Маппинг помогает обнаружить слабые места в процессах обработки данных и оценить связанные с ними риски. Например, к ним могут относиться небезопасные методы хранения или точки несанкционированного доступа. При выявлении уязвимостей компания сможет внедрить меры защиты для снижения этих рисков. 🔹 Повышение прозрачности. Инвентаризация данных способствует прозрачности, обеспечивая контроль за использованием персональных данных. Это позволяет субъектам данных быть уверенными в том, что их данные обрабатываются ответственно и этично. 🔹 Снижение штрафов в случае нарушений. Если надзорный орган выявит какие-либо нарушения, штрафы (согласно текущей практике) будут менее строгими при наличии установленной в компании системы учета обработки персональных данных. 🧐 Как проводить мероприятия по маппингу / инвентаризации / составлению реестра? Есть много способов построения карты персональных данных. Компаниям важно определиться с наиболее релевантной схемой и подходом. Мы рекомендуем проводить маппинг с помощью сессий интервью с представителями отделов. Обычно такие интервью проводит команда privacy. При этом важно вовлечь в процесс все отделы, которые взаимодействуют с персональными данными и принимают решения об их использовании.

Проверки соответствия требованиям по обеспечению безопасности значимых объектов КИИ проводит ФСТЭК России согласно Постановлению Правительства РФ № 162. Проверки бывают плановыми и внеплановыми. Плановые проверки проводятся раз в 3 года со дня: • внесения сведений об объектах КИИ в реестр значимых объектов КИИ; • окончания последней плановой проверки в отношении значимых объектов КИИ. Плановые проверки проводятся согласно ежегодному плану ФСТЭК России. О проверке субъекты КИИ уведомляется не менее чем за 3 рабочих дня. Причинами внеплановой проверки могут быть: • истечение срока выполнения выданного ФСТЭК России предписания об устранении нарушений требований ИБ; • возникновение инцидента ИБ на значимом объекте КИИ, повлекшего негативные последствия, предусмотренные Постановлением Правительства РФ № 127; • поручение Президента РФ или Правительства РФ или требование прокурора. О проведении внеплановой проверки ФСТЭК России извещает субъекта КИИ не менее чем за 24 часа. #КИИ

Южная Корея. Руководители Samsung всех уровней будут работать по шесть дней в неделю в наказание за неутешительные финансовые результаты в 2023. Согласно плану, который вступил в силу еще две недели назад, руководители должны будут работать либо в субботу, либо в воскресенье после обычной пятидневной рабочей недели, сообщает Korea Economic Daily. В 2023 году Samsung Electronics зафиксировала операционный убыток в размере $11 млрд в своем основном бизнесе по производству полупроводников.