Kept | Cyber

В соответствии с требованиями ст. 7 GDPR, согласие на обработку персональных данных (ПДн) должно быть дано на добровольной основе. Также согласие на обработку ПДн может быть отозвано субъектом в любое время, что может повлечь прекращение обработки ПДн.   Согласно п. 3.1.1 разъяснений EDPB от 2020 года в отношении согласия на обработку ПДн, работодатель может использовать согласие на обработку ПДн в качестве правового основания для обработки ПДн работника в тех случаях, когда: • может быть обеспечена добровольность дачи согласия; • отказ от дачи согласия не окажет негативного влияния на работника. Примером такой ситуации может служить сбор ПДн работника для предоставления услуги ДМС или для организации экскурсионной поездки.   EDPB подчеркивает зависимость работника от работодателя, поэтому работник не во всех ситуациях может дать согласие добровольно из опасений быть уволенным и / или из страха получить ухудшение условий труда. Регулятор рекомендует использовать в качестве правовых оснований требование законодательства или договор с субъектом.   #Privacy

CISO & DPO news #26 (24-30 мая 2024 года)   1/8 EDPB опубликовал руководство по защите ПДн для малого бизнеса. 2/8 Минцифры подготовило правки к законопроекту об санкциях за утечки персданных. 3/8 Издан проект требований для провайдеров хостинга по защите данных в ГИС и МИС. 4/8 Выросла доля киберпреступлений в РФ. 5/8 В Госдуме предлагают ввести уголовную ответственность за дипфейки. 6/8 ГК «Солар» опубликовали отчет о хакерской группировке Shedding Zmiy. 7/8 Банк России опубликовал обзор отчетности об инцидентах ИБ за 1-й квартал 2024. 8/8 Эксперты рассказали об активности хакерской группе Sapphire Werewolf.

Вопрос: Требуется ли включать в перечень информационных систем персональных данных (ИСПДн) информационные системы (ИС) которые используются компанией, но которые ей не принадлежат?   Ответ: Нет, не требуется.   В соответствии с ч. 10) ст. 3 152-ФЗ, ИСПДн – это совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.   Согласно разъяснениям Роскомнадзора, в ч. 2 ст. 13 149-ФЗ определены условия, при которых лицо может быть собственником ИС – использование технических средств для обработки данных, содержащихся в базах данных, на законном основании. Также собственник ИС может заключить договор об эксплуатации ИС, при таких обстоятельствах оператором ИС (п. 12 ст. 2 149-ФЗ) будет являться сторона, с которой этот собственник заключил договор об эксплуатации информационной системы.   Так, Роскомнадзор делает вывод о том, что у одной информационной системы может быть только один оператор.   При этом мы рекомендуем отражать обработку ПДн в сторонних ИСПДн в реестре процессов обработки ПДн (ранее мы писали про его содержание).   #Privacy #ОтвечаетKept

Опубликовано 2 мая 2024 г.: Методический документ «Методика оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов КИИ» · для кого: государственные органы, органы местного самоуправления, юридические лица и субъекты КИИ; · что делать: провести оценку текущего состояния защиты информации, в том числе персональных данных и состояния безопасности значимых объектов КИИ. В настоящее время документ носит рекомендательный характер.   Опубликовано 15 мая 2024 г.: Информационное письмо Банка России от 15.05.2024 № ИН-08-12/31 · для кого: кредитные организации; · что делать: усилить контроль за деятельностью привлекаемых банковских платежных агентов.   Вступило в силу 28 мая 2024 г.: Указание Банка России от 05.02.2024 № 6679-У · для кого: кредитные организации, которым принадлежат значимые объекты КИИ; · что делать: ознакомиться с Указанием и быть готовыми предоставить по запросу Банка России информацию о реализации планов по переходу на использование российского ПО и оборудования, задействованного на значимых объектах КИИ.   Указание Банка России от 05.02.2024 № 6680-У · для кого: некредитные финансовые организации, которым принадлежат значимые объекты КИИ; · что делать: ознакомиться с документом и быть готовыми предоставить по запросу Банка России информацию о реализации планов по переходу на использование российского ПО и оборудования, задействованного на значимых объектах КИИ.   Вступит в силу 1 июня 2024 г.: Приказ ФСТЭК России от 01.12.2023 № 240 · для кого: разработчики средств защиты информации; · что делать: реализовать требования к этапам проведения сертификации процессов безопасной разработки ПО средств защиты информации, составляющей гостайну.   #Де-юре #ИБ

Ранее мы рассказывали про основные методы социальной инженерии. Сегодня поделимся реальными случаями применения мошенниками психологических манипуляций. Например, человеку присылают сообщение о том, что его аккаунт на Госуслугах якобы взломан и указывают номера телефонов, с которых поступит звонок от «службы поддержки» для восстановления доступа. При личном разговоре с человеком злоумышленник получает код для двухфакторной аутентификации и дальнейшего доступа к аккаунту. В 2023 г. в Telegram стала популярна схема FakeBoss. Мошенники создают фейк-аккаунты топ-менеджеров компаний и пишут рядовым сотрудникам с целью выполнения определённых действий. Так, сотрудник бухгалтерии может получить сообщение от "начальника" с просьбой о переводе денежных средств на указанный счет в срочном порядке. В январе 2024 г. были выявлены случаи использования аудиодипфейков в схеме FakeBoss. Злоумышленник, применяя технологии искусственного интеллекта, не ограничивается простой отправкой текста от чужого имени, а звонит или записывает аудиосообщение с голосом руководителя. Чтобы иметь возможность защититься от подобных манипуляций рекомендуем: · проявлять бдительность, перепроверять информацию и не поддаваться эмоциям, о чем мы говорили ранее; · следить за трендами и за новыми методами атак, включая методы социальной инженерии, чтобы не быть застигнутым врасплох.   #ИБ

Согласно п.5 ч.1 ст.6 152-ФЗ обработка персональных данных (ПДн) допускается в случае, если она необходима для исполнения или для заключения договора по инициативе субъекта ПДн и если субъект является: • стороной договора (ст.420 ГК РФ) • выгодоприобретателем (ст.ст.430, 842, 930, 1012 ГК РФ) • поручителем (ст.361 ГК РФ) В соответствии с позицией Роскомнадзора данное правовое основание ограничено только гражданско-правовыми договорами. Однако суды толкуют норму расширительно, включая также трудовой договор. При обработке ПДн на основании договора следует иметь ввиду следующие правила: • должна быть обеспечена связь цели обработки ПДн с предметом договора • обработка ПДн должна быть необходима для исполнения обязательств сторон договора • обработка ПДн должна быть прекращена одновременно с расторжением договора • договор не может содержать положения, ограничивающие права субъекта ПДн или устанавливающие не предусмотренную законом обработку ПДн несовершеннолетних • договор не может содержать положения, не допускающие в качестве условия заключения договора бездействие субъекта ПДн #Privacy

CISO & DPO news #25 (17-23 мая 2024 года)   1/8 Новые указания ЦБ РФ по импортозамещению в области КИИ 6679-У и 6680-У. 2/8 Киберпреступники распространяют вредоносное ПОчерез GitCenter и FileZilla. 3/8 Обнаружена новая угроза безопасности для ИИ-моделей в облачных сервисах. 4/8 Вредоносное ПО распространяется через рекламу в поисковой системе Google. 5/8 Минпромторг подготовил законопроект об обработке промышленных данных. 6/8 Совет Федерации сообщил о концепции и структуре Цифрового кодекса РФ. 7/8 Опубликованы результаты обсуждения перспектив использования ИИ в финорганизациях. 8/8 ЦБ РФ опубликовал обзор основных компьютерных атак в 2023 г.